通过命令行管理隔离文件

与 Detection and Response 解决方案集成时,您可以在命令行上使用隔离区管理命令来执行以下操作:

恢复受感染的文件可能会导致设备感染。

隔离文件

要隔离文件,请运行以下命令:

kesl-control [-Q] --put <文件路径> [--md5] [--sha256] [--save-original-file]

其中:

仅当与 Kaspersky Endpoint Detection and Response Optimum 集成时,您才可以使用此命令。

查看有关隔离文件的信息

要查看有关隔离文件的信息,请运行以下命令:

kesl-control -Q --query ["<筛选条件>"] [-n <数量>] [--json]

其中:

ObjectId 行显示应用程序在隔离对象时分配给该对象的数字标识符。此 ID 用于对文件执行操作,例如还原文件或将其从隔离区中删除。

从隔离区恢复文件

要将文件以原始名称从隔离区恢复到其原始位置,请执行以下命令:

kesl-control -Q --restore <对象 ID>

其中 <object ID> 是应用程序在隔离文件时分配给文件的数字 ID。

要将文件以新名称从隔离区恢复到指定目录,请执行以下命令:

kesl-control -Q --restore <对象 ID> --file <文件路径>

其中 --file <文件路径> 是文件的新名称和要将文件保存到其中的目录的路径。

如果目录被删除或者用户没有访问权限,应用程序会将文件放在 /var/opt/kaspersky/kesl/common/restored/ 目录中。您可以手动将文件从该目录移动到您选择的目录。

从隔离区中删除文件

要从隔离区中删除选定的文件,请运行以下命令:

kesl-control -Q --mass-remove --query "<筛选条件>"

其中 <筛选条件> 是一个或多个逻辑表达式,格式为 <字段> <比较运算符> ‘<>’,结合逻辑运算符 and 来限制结果。

例如:

要删除名称或路径中包含“test”的文件:

kesl-control -Q --mass-remove --query "FileName like '%test%'"

要从隔离区中删除所有文件,请运行以下命令:

kesl-control -Q --mass-remove

页面顶部