文件处理 CLI 命令

在线编辑

使用这些命令来备份和复原系统信息。 其中许多任务可以从 Guardium ® 用户界面执行。

关于归档数据文件的名称

当 Guardium 数据归档 (或导出到聚集器)时,每天都有一个单独的数据文件。 根据导出/清除或归档/清除操作的配置方式,同一天导出的数据可能存在多个副本。 归档和导出数据文件的名称具有相同的格式:

<daysequence>-< hostname.domain >-w<run_datestamp>-d<data_date>。 dbdump.enc

  • daysequence 是一个数字,表示归档数据的日期,以自 0 年以来的天数表示。 同一日期在名称的 data_date 部分中以 yyyy-mm-dd 格式显示。
  • hostname.domain 是在其中创建归档的 Guardium 设备的主机名,后跟一个点字符和域名。
  • run_datestamp 是归档或导出数据的日期,采用了 yyyymmdd.hhmmss 格式。
  • data_date 是已归档数据的日期,采用了 yyyy-mm-dd 格式。

例如:732423-g1.guardium.com-w20050425.040042-d2005-04-22.dbdump.enc

backup config

这些命令将配置信息备份到内部管理表以及从这些表中复原配置信息。 backup config 命令将数据存储在 /media/backup 目录中。 backup config 命令将移除许可证信息和其他特定于机器的信息。 backup system 命令提供对配置和整个系统的更全面备份。

语法

backup config

restore config

backup system

本主题适用于 Guardium 内部数据库的备份和复原操作。 您可以备份或复原数据和/或配置信息。 这些命令将停止所有检查引擎和 Web Service 并在操作完成后将它们重新启动。

使用 restore backup 命令可将备份复原到 Guardium 的最新版本。
切记: 还原备份命令只能从 Guardium V10.1.3 或更高版本中还原文件。 有关更多信息,请参阅 复原备份

对于所有备份、导入和复原命令,根据在哪些存储系统上进行配置以及复原操作的类型,您将接收到一系列提示以要求您提供下列某项或者某几项内容。 请根据您的操作相应地对每个提示作出响应。 表 1 描述了可能会提示您的信息。

提示:
  • 无论传输是否成功,都会保存一份 SCP/SFTP/TSM/Centera 文件传输副本。 某些文件可能需要几个小时才能重新生成(例如,系统备份),因此有可用的副本(特别是文件传输失败时)可以有效地节省时间。 每种类型的文件都只保留一个副本(即,一个归档、一个系统备份、一个配置备份,等等)。
  • backup system 命令会复制当前许可证、测量和数据源数目,然后备份数据。 使用 restore backup 可复原数据,然后复原许可证、测量和数据源数目。
  • 配置备份时,端口号的值“0”指示正在对该协议使用缺省端口。
表 1. 备份系统参数
描述
  • AmazonS3
  • Centera
  • IBM Cloud
  • IBM COS
  • NFS
  • SCP
  • SFTP
  • TSM
 选择要用于传输文件的方法。 仅当启用了存储方法时,才会显示这些方法。 有关更多信息,请参阅 store storage-system 命令。
Data 或 Configuration 选择 Configuration 以仅备份定义和配置信息,或选择 Data 以备份数据以及配置信息。
restore from archive 或 restore from backup 选择 restore from archive 以复原已归档数据,或选择 restore from backup 以复原配置信息。
主机 备份文件的远程主机。
remote directory 备份文件的目录。 对于 SFTP ,该目录相对于所使用的 SFTP 用户帐户的 SFTP 根目录。 对于 SSH,该目录路径是一个完整的目录路径。 对于 Windows™ SSH 服务器,请使用 Unix 风格的路径名,并使用正斜杠,而不是 Windows 风格的反斜杠。
用户名 要用于操作的用户帐户名称(对于备份操作,此用户必须对指定的目录具有写/执行许可权)。
注: 对于 Windows ,将接受格式为 domain\user 的域用户
密码 用户名的密码。
文件名 归档或备份文件的文件名。

使用 FTP、SCP 和快照传输方法时,可以在文件名中使用通配符 (*) 以选择多个文件。

TSM 和 Centera 不支持通配符。
Centera server Centera 服务器名称。 如果使用 PEA 文件,请使用以下格式:<主机名/IP>? <完整 PEA 文件名>,例如:

128.221.200.56?/var/centera/us_profile_rwqe.pea.txt
Centera clipID 对于 Centera 复原操作,此项是从备份操作返回的内容地址。 例如:

6M4B15U4JM4LBeDGKCPF9VQO3UA

提供备份或复原操作所需的所有信息后,将会显示一系列消息来告知您操作结果。 例如,复原备份操作成功完成时,类似如下的消息将发送到

/var/IBM/Guardium/log/diag/depot/upgrade_<TimeStamp>.log 文件:

2019-05-16-165208 Upgrade of v10.0 to v11.0.0 completed successfully

阻止备份或归档脚本填充 /var

在运行之前,备份进程将检查 /var 是否有空间,如果没有,那么失败。 如果没有足够的空间用来备份,那么此进程也将警告用户。

归档进程将检查静态表的大小,并确保 /var 中有空间用来创建归档。

现在,如果使用的备份空间超过 50%,那么会在日志文件和 GUI 中记录一个错误

示例:

ERROR: /var backup space is at 60% used. Insufficient disk space for backup. CLI> backup system     1. DATA     2. CONFIGURATION  Please enter the number of your choice: (q to quit) 1      1. SCP     2. CONFIGURED DESTINATION  Enter the number of your choice: (q to quit) 2 Make sure destination is configured in the GUI under the System Backup option Please wait, this may take some time.

delete audit-data

仅在 Guardium 支持人员的指导下使用此命令。 此命令用于移除压缩的审计数据文件。 系统将提示您输入索引号以标识要移除的文件。 有关归档数据文件名的构造方式的信息,请参阅“归档数据文件名”。

系统将提示您标识要移除的文件。

语法

delete audit-data

export audit-data

将来自指定日期 (yyyy-mm-dd) 的审计数据从各种内部 Guardium 表导出到压缩归档文件。 指定日期的数据将存储在 /var/dump 目录的压缩归档文件中。 创建的文件将在系统产生的消息中进行标识。 请参阅示例。 仅在 Guardium 支持人员的指导下使用此命令。

注: 只有具有 admin 角色的用户才能运行此命令。

语法

导出审计数据 <yyy-mm-dd>

示例

export audit-data 2005-09-16 2005-09-16

生成类似于以下内容的一组消息:

正在抽取 GDM_ACCESS 数据 ... 
正在抽取GDM_构造数据 ... 
正在抽取GDM_语句数据 ... 
正在抽取 GDM_OBJECT 数据 ... 
正在抽取 GDM_FIELD 数据 ... 
正在抽取 GDM_CONSTRUCT_TEXT 数据 ... 
正在抽取 GDM_SESSION 数据 ... 
正在抽取 GDM_EXCEPTION 数据 ... 
正在抽取 GDM_POLICY_VIOLATIONS_LOG 数据 ... 
正在抽取 GDM_CONSTRUCT_INSTANCE 数据 ... 
正在生成 tar 文件 ... /var/csvGenerationTmp ~ 
GDM_ACCESS.txt 
GDM_CONSTRUCT.txt 
GDM_CONSTRUCT_INSTANCE.txt 
GDM_CONSTRUCT_TEXT.txt 
GDM_EXCEPTION.txt GDM_FIELD.txt 
GDM_OBJECT.txt 
GDM_POLICY_VIOLATIONS_LOG.txt 
GDM_SENTENCE.txt 
GDM_SESSION.txt ~ 
生成完成, CSV 文件保存到 /var/dump/732570-supp2.guardium.com-w20050919110317-d2005-09-16.exp.tgz ok

每个指定的内部数据库表中的数据将以 CSV 格式写至一个文本文件中。 归档文件的名称以 exp.tgz 结尾,并且该名称的其余部分按“关于归档数据文件的名称”中描述的方式进行构造。

您可以使用 export file 命令将此文件传输到另一系统。

export file

此命令从 /var/IBM/Guardium/data/dump、/var/log 或 /var/IBM/Guardium/data/importdir 目录导出名为 filename 的单个文件。

仅在 Guardium 支持人员的指导下使用此命令。 要 将 Guardium 数据导出到聚集器或 归档数据,请在 "管理控制台" 面板上使用相应的菜单命令。

语法

导出文件 </local_path/filename> < user@host :/path/filename>

local_path 必须是下列其中一项: /var/IBM/Guardium/data/dump, /var/log 或 /var/IBM/Guardium/data/importdir

export-public-transfer-key

此命令启动一个脚本,该脚本强制一组新的 SSH 密钥到指定的远程主机上。

将 ssh 传输密钥的公共部分导入远程主机。 有关详细信息,请参阅为数据存档、数据导出和数据集市启用 ssh 密钥对

语法

export-public-transfer-key

export rotated_message_logs

使用此命令可将消息日志导出至远程目录。 每个日志在创建时使用唯一名称。

指定此命令时,Guardium 会请求以下信息:
  • 远程主机用户名
  • 远程主机:远程主机的 IP 地址
  • 远程主机目录:远程日志的目录。
  • 密码:主机用户(即,主机用户名)的密码。
  • SCP 端口:要指定特殊端口,应在请求时输入。 要使用缺省端口,请输入 0 或按 Enter 键。

语法

export rotated_message_logs

fileserver

使用此命令可启动在 Guardium 设备上运行的基于 HTTPS的文件服务器。 此工具用于简化将补丁上载至单元或者从单元下载调试信息的任务。 每当此设备启动时,将会删除补丁上载至的目录中的任何文件。

注: 生成文件服务器将访问的文件的任何操作都应在文件服务器启动之前完成 (以便该文件可用于文件服务器)。

语法

文件服务器 <IP address> <duration>
  • IP address - 允许访问指定的文件服务器。 要检索用于启动文件服务器的 IP 地址,需要来自您正在使用的本地计算机的 IP 地址。 如果 IP 地址不是本地计算机 IP 地址,那么文件服务器将不会启动。
  • Duration -指定使文件服务器保持活动状态的秒数 (60-3600)。 在指定的秒数过后,文件服务器将自动关闭。

在通过代理服务器将浏览器会话重定向的安全设置中,文件服务器客户机的 IP 地址与启动文件服务器的 SSH 客户机不相同。 相反,文件服务器客户机具有代理服务器的 IP 地址,您必须通过 IP address 参数传递该地址。 要查找代理 IP 地址,请检查浏览器设置或者“Guardium 监视器”界面中的“登录 Guardium”报告中显示的客户机 IP 地址。

示例

fileserver 10.0.0.1 3600 
Starting the file server... 
The file server is ready at https://guardium.system.com:8445 
The timeout has been set to 3600 seconds and it may timeout during the uploading. 

The upload will only be accessible from the IP you are logged in from: 10.0.0.1 
Press ENTER to stop the file server.

在浏览器窗口中打开该文件服务器,然后执行下列其中一项操作:

  • 要上载补丁,请单击“上载补丁”,然后遵循指示来执行操作。
  • 要下载日志数据,请单击“Sqlguard 日志”,浏览到所需的文件,然后像下载任何其他文件一样下载该文件。

当您完成后,请返回到 CLI 会话并按 Enter 键以终止该会话。

使用 fileserver 访问 VA 脚本
  • 在 Guardium CLI 中,运行 fileserver <your computer's IP address> 3600
  • 使用浏览器,转至 https://<IP address of your Guardium system>/log/debug-logs/gdmmonitor_scripts/
  • 选择与数据库类型匹配的文件。

import file

使用此命令可导入文件。

从运行命令时显示的列表中选择文件类型。 可以在 SCP , FTP 和快照方法中使用通配符 (*) 作为文件名。

语法

import file

有关更多信息,请参阅 backup configrestore config

导入 scanner_agent

导入漏洞扫描程序代理程序。 您可以使用 SCP 或 Guardium 文件服务器导入扫描程序代理程序。 Guardium 支持以下代理程序:
  • Nessus
  • Qualys

语法

import scanner_agent <scp <agent> | sys <agent> <filename>

其中:

agent -受支持的 CVE 扫描程序代理程序 nessusqualys

  • scp <agent> -遵循提示以指示要将扫描程序代理程序存储在何处。
  • sys <agent> <filename> -遵循提示以指示要将扫描程序代理程序存储在何处。 在导入代理程序之前,它必须在 Guardium 文件服务器上可用。 有关更多信息,请参阅 fileserver

    必需信息:

    • Hostname-代理程序所在的主机名或 IP 地址。
    • 用户名和密码-用于登录主机的用户名和密码。
    • Full filepath-完整路径,包括要导入的代理程序的文件名,例如 /site/a-support/scanner_tools/agents/NessusAgent/NessusAgent-10.4.2-es8.x86_64.rpm
导入代理程序后,需要使用 setup scanner_agent CLI 命令对其进行配置。

更多信息,请参阅配置漏洞扫描代理

import tsm config

在使用 TSM 执行任何存档或备份操作之前,将 Tivoli Storage Manager (TSM) 客户端配置文件上传到 Guardium 设备。 您始终需要上传 dsm.sys 文件,如果该文件包含多个服务器名称部分,您还需要上传 dsm.opt 文件。 有关如何创建这些文件的信息,请与公司的 TSM 管理员联系。

系统会提示您输入指定主机上用户账户的密码。

语法
import tsm config <user@host:/path/[ dsm.sys | dsm.opt ]>

参数

user@host - 在指定主机上访问文件的用户账户。

/path/[ dsm.sys | dsm.opt ] - 要导入文件的完整路径文件名。

重要: 在每个收集器上设置 TSM 时,如果初始配置失败,则会显示通知错误,说明无法发送测试文件。 如果以根用户身份登录收集器,然后在 TSM 服务器上运行 dsmc archive 命令,则使用相同凭据的 TSM 文件会成功。 如果使用与之前在图形用户界面中相同的选项进行配置,配置也会成功。

如果输出中显示信息 ANS1051I Invalid user id or password ,请忽略该信息。

如果 tsm 配置文件中有 passwordaccess=generate 字样,系统会搜索存储在本地文件中的密码。 根用户需要运行 dsmc 命令来创建本地密码文件。

上传 tsm 配置文件后,如果配置文件包含密码访问生成提示,则可以配置密码访问设置以生成密码。
Would you like to run a dsmc command now to ensure password is set locally (y/n)?     If the answer is y, run a "dsmc query options>>/dev/null" command, which will prompt user for password.

import tsm property

使用此 CLI 命令来将文件上载至 /opt/tivoli/tsm/client/ba/bin/guard_tsm.properties。

文件大小应为 1K。

语法

import tsm property user@host:file

此命令会将输入文件上载至 /opt/tivoli/tsm/client/ba/bin/guard_tsm.properties

重新启动 scanner_agent

重新启动指定的 CVE 扫描程序代理程序。

语法

restart scanner_agent <agent>

其中:

agent -受支持的 CVE 扫描程序代理程序 nessusqualys

更多信息,请参阅配置漏洞扫描代理

restore backup

注意: 从 Guardium V11.0 开始,该 CLI 将取代 restore db-from-prev-versionrestore system CLI 命令。

通过此命令,您可以将 Guardium 数据文件和/或配置文件从先前安装的系统复原和升级到较新的系统。 restore backup 命令不采用任何参数,但提供了一系列问题来确定要复原的文件。 为了使命令工作,需要在同一补丁级别的相同类型的机器上调用复原备份。

对于任何复原,您可以选择一个数据备份 (DATA) 文件、一个配置文件 (CONFIG) 或两种文件各选一个。

CONFIG 的 restore backup 命令复原以下配置信息:
  • 双因子认证配置
  • 系统用户的认证凭证
  • 通用连接器配置
  • 聚集器键
  • CA 证书和存储库
  • PKI 证书
  • 密钥和证书的存储库
  • Web 服务器配置和定制
  • FIPS 已启用/已禁用状态
  • OCR 配置
  • 离群值配置
  • Spectrum Protect 配置
  • GBDI 配置
  • 日志轮换配置
注: 复原期间将覆盖以下数据:
  • accessmgr 用户定义的用户信息。
  • 导出定义中包含的信息。
运行 restore backup时, Guardium 会询问您是否要导入备份文件,然后提出一系列问题以确定其位置。 Guardium 建议您先导入备份文件,再调用 restore backup。 导入的文件存储在 /var/dump/ 目录中。
注: 如果 Guardium 系统上已有备份文件,那么 restore backup 会列出这些文件。 您可以选择其中一个可用文件,以复原或导入不同的文件。
如果您选择导入备份文件,那么脚本将要求您提供以下信息:
  • 存储类型所需的文件传输方法,例如 AMAZONS3、FTP、SCP、SOFTLAYER 或 TSM。
  • 备份主机名称。
  • 备份主机用户名。
  • 远程目录。
  • 要复原的远程文件。 可以使用通配符 (*) 来选择一个或多个文件。 例如,如果您知道要从 2022 年恢复文件,那么可以指定 2022 * 以显示文件名中包含 2022 的所有文件。 如果符合条件的文件超过 10 个,那么 Guardium 一次最多列出 10 个文件。 您可以选择要导入的文件,或显示下一组文件。
  • 主机上用户的密码。
选择要导入并复原的文件,并指定所需的信息之后,Guardium 会将 DATA 和/或 CONFIG 复原到 Guardium 的最新受支持版本。
注: 复原备份命令只能从 Guardium V10.1.3 或更高版本复原文件。 要复原来自 V10.1.3 之前版本的备份文件,请先将其复原到 V10.1.3 或更高版本的设备,从该设备建立备份,再将新备份复原到最新发行版。

语法

restore backup

restore config

这些命令将配置信息备份到内部管理表以及从这些表中复原配置信息。 backup config 命令将数据存储在 /media/backup 目录中。 backup config 命令将移除许可证信息和其他特定于机器的信息。 backup system 命令提供对配置和整个系统的更全面备份。

当复原配置时,您必须复原与创建备份的原始设备具有相同版本和补丁级别的备份。

语法

backup config

restore config

restore keystore

请仅在技术支持机构的指导下使用此命令。

使用此命令来复原 Web servlet 容器环境 (Tomcat) 使用的证书和私有密钥。

语法

restore keystore

restore pre-patch-backup

请仅在技术支持机构的指导下使用此命令。

使用此命令以在设备数据库启动或关闭时恢复 pre-patch-backup。

语法

restore pre-patchbackup Please enter the information to retrieve the file: Is the file in the local system? (y/n) n Start to recover with the backup profile parameters. Please check the recovery status in the log /var/log/guard/diag/depot/patch_installer.log ok -------------------------------------- If answer 'n', abort the operation. If answer 'y', need to enter the file name.

set up vmware tools

使用此 CLI 命令来安装可在 ESX 基础结构上运行的 VMware。

语法

setup vmware_tools [ install | uninstall ]

步骤 1: 打开 VM 客户机/控制台,然后选择包含 IBM® Guardium 设备的 VM 实例。 右键单击实例,然后从弹出菜单中选择 "访客 => 安装/升级 VMware 工具"。 这会使该实例能够通过安装点来访问 VMware Tools。

步骤 2: 运行 CLI 命令 (在 VM 客户机/控制台中) setup vmware_tools install以安装 VM 工具。

设置 scanner_agent

设置 CVE 扫描程序代理程序。

语法

setup scanner_agent <configure | enable | proxy | uninstall> <agent>

其中:

agent -受支持的 CVE 扫描程序代理程序 nessusqualys

  • configure <agent> -配置导入的指定代理程序 (使用 import scanner_agent 命令) ,如下所示:
    对于 Nessus 代理程序:
    • Linking key -可从 Tenable Nessus 代理程序仪表板获取。
    • Agent name -缺省值为 Guardium 系统主机名。
    • Host -启用代理程序所连接的 Nessus 系统主机名。
    • Port-用于连接到 Tennable Nessus 系统的端口号。
    对于 Qualys 代理程序:
    • Customer ID -可从 Qualys 代理程序管理仪表板获取。
    • Activation ID -可从 Qualys 代理程序管理仪表板获取。
    • Server URI -代理程序连接的 Qualys 系统主机名。
    • Proxy host -代理主机名 (如果需要)。
  • enable <agent> -对于 Qualys 代理程序,请在配置该代理程序后将其启用。 Nessus 代理程序在配置后自动启动。
  • proxy <agent> -如果要将 SSL 与代理配合使用,请遵循代理输入代理信息的提示。
  • uninstall<agent> -卸载指定的代理程序 (nessusqualys)。

更多信息,请参阅配置漏洞扫描代理

show audit-data

使用此命令可以显示所有通过执行 CLI 命令 export audit-data 创建的文件。 有关审计数据文件的更多信息,请参阅 export audit-data。

语法

show audit-data <yyy-mm-dd> (显示审计数据 <yyy-mm-dd

显示 scanner_agent

语法

ca_bundle | configuration <agent> | status <agent> | supported >

其中:

agent -受支持的 CVE 扫描程序代理程序 nessusqualys

  • ca_bundle -显示要使用 store certificate scanner ca_bundle下载的证书信息。
  • configuration <agent> -显示指定代理程序的配置详细信息。
  • status <agent> -显示指定代理程序的状态。
  • supported -显示受支持的 CVE 代理程序的列表。

更多信息,请参阅配置漏洞扫描代理

启动 scanner_agent

启动 CVE 扫描程序代理程序。

语法

start scanner_agent <agent>

其中:

agent -受支持的 CVE 扫描程序代理程序 nessusqualys

更多信息,请参阅配置漏洞扫描代理

停止 scanner_agent

停止 CVE 扫描程序代理程序。

语法

stop scanner_agent <agent>

位置

agent -受支持的 CVE 扫描程序代理程序 nessusqualys

更多信息,请参阅配置漏洞扫描代理

store language

Guardium 的初始安装始终使用英语。 安装后使用 store language CLI 命令可将数据库从英语版本转换为所需语言版本。 应该在初始的系统设置过程中设置所需语言:在已建立的系统上更改语言会影响该系统上已捕获、已存储、已定制、已归档或已导出的信息。
要点:
  • 从英语切换到所需语言后,使用此 CLI 命令无法还原为英语。 必须重新安装英语版 Guardium 系统。
  • 为避免系统显示混合语言,请将中央管理器及其所有受管单元设置为同一语言。

语法

store language

示例
store language
The following languages are available on this appliance:
	1.	French
	2.	German
	3.	Italian
	4.	Japanese
	5.	Korean
	6.	Polish
	7.	Pseudo
	8.	Simplified Chinese
	9.	Spanish
	10.	Traditional Chinese
Please enter the number of the language you want or 0 to quit:

show 命令

show language

store tsm authorization

backupinitiationroot 在 TSM 服务器中设置为 ON 时,只有 root 用户和授权用户才能执行备份/归档。 backupinitiationroot 设置为 ON 并且 DSM.SYS 中的 password access 中设置为“generate”时,Guardium 备份和归档至 TSM 的操作将失败,并产生以下错误消息:

ANS1708E Backup operation failed. Only a root user can do this operation

非 root 用户必须被授权才能执行备份和归档。

此授权将通过执行 CLI 命令启用:

Store tsm authorization backupinitiationroot on

此授权将通过执行 CLI 命令禁用:

Store tsm authorization backupinitiationroot off

语法

store tsm authorization backupinitationiroot <on/off>

show 命令

show tsm authorization backupinitationiroot <on/off>

如果 backupinitiationroot 在 TSM 服务器中设置为 ON 时非 root Guardium 用户被授权执行备份和归档,那么此 CLI 命令显示 on。 否则,它显示 off。

重新引导后的 Vmware 内核问题

运行 Guardium 的 VMware ESX 4.1 虚拟机重新引导后可能会出现内核问题。

要更正这种情况,VMware 建议:在 ESX4.1 上安装更新 2,或者将 CPU/MMU 虚拟化设置为“对指令集和 MMU 虚拟化使用软件”。 此选项在“设置/选项/CPU/MMU 对指令集和 MMU 虚拟化使用软件”。