在 Windows 上有效
secons 实用程序可控制 CA ControlMinder 检测运行时设置。 可使用此实用程序将外部 DLL 库加载到活动的进程,并修改 CA ControlMinder 检测插件的运行时跟踪配置。 必须具有 ADMIN 或 OPERATOR 属性才能执行此命令。
此命令采用以下格式来加载 DLL 库:
secons -v target load "dll_name"
此命令采用以下格式来启用或禁用 CA ControlMinder 检测插件的跟踪:
secons -v target trace plugin_name {trace:enable|trace:disable}:{file:"tracefile_path"|debug}
注意:只有正确配置跟踪之后,CA ControlMinder 才会开始跟踪。
此命令采用以下格式来配置 CA ControlMinder 检测插件的跟踪:
secons -v target trace plugin_name trace:option:{sources:{1 | 4} | filtering:value | filecyclic:{0 | 1} | filelimit:value }
指定此命令启用或禁用针对调试输出通道的跟踪。
定义 CA ControlMinder 用来写入跟踪的文件的完整路径。
注意:如果指定 trace:disable 参数,CA ControlMinder 将忽略为 file:"tracefile_path" 参数指定的任何值。
指定是否启用循环文件跟踪。 如果启用循环文件跟踪,当跟踪文件的大小达到指定的最大大小时,CA ControlMinder 将返回到跟踪文件的开头并继续写入跟踪。
此参数具有以下值:
0-禁用循环文件跟踪
1-启用循环文件跟踪
定义跟踪文件的最大大小(字节)。 值为 0 表示跟踪文件没有最大大小。
定义用来筛选指定检测插件的跟踪的位筛选掩码。 CA ControlMinder 不会将筛选出的事件写入跟踪文件。
注意:如果不指定筛选选项(即指定 CA ControlMinder 将所有事件写入跟踪),请使用值 0xFFFFFFFF。 此参数的所有其他值取决于指定的插件。
指定将指定的 DLL 加载到目标进程。 DLL 操作环境和目标进程操作环境必须相同。 例如:如果指定 32 位进程作为目标过程,则 DLL 也必须是 32 位。
重要说明! DLL 必须位于 ACInstallDir\bin 文件夹中。
指定 CA ControlMinder 输出跟踪的位置。
此参数具有以下值:
1-输出到文件
4-输出到调试 API 跟踪
定义一个或多个目标进程。 此参数具有下列值之一:
指定将命令发送到计算机上运行的所有 32 位进程。
指定将命令发送到计算机上运行的所有 64 位进程。
定义目标进程的进程 ID。 目标进程必须正在计算机上运行。
定义用于标识目标进程的名称的掩码。 目标进程必须正在计算机上运行。 例如:如果为此参数指定 cmd.exe,并且有三个 cmd.exe 实例正在计算机上运行,CA ControlMinder 会将命令应用于全部三个进程。
指定修改名为 module_name(例如:cainstrm 或 stopplg)的 CA ControlMinder 检测插件的运行时跟踪配置。
注意:必须指定该插件的 DLL 名称。 如果升级检测插件,并更改该插件的 DLL 名称,必须在命令中指定新 DLL 的名称。 例如:如果升级 cainstrm 插件,并且该插件升级后的 DLL 名称是 cainstrm2.dll,则必须将 cainstrm2 指定为 plugin_name。
指定启用目标插件的跟踪。
指定禁用目标插件的跟踪。
注意:此参数将在运行时更改跟踪启用标志的状态。 只有正确配置跟踪之后,CA ControlMinder 才会开始跟踪。
指定配置目标插件的跟踪。
示例:启用对调试输出通道的跟踪
以下命令将在运行时针对计算机上所运行的 32 位进程中的所有 stopplg 插件文件更改跟踪启用标志的状态。 只有正确配置跟踪之后,CA ControlMinder 才会开始跟踪:
secons -v all_32bit trace stopplg trace:enable:debug
示例:将跟踪筛选掩码应用于插件
以下命令将跟踪筛选掩码应用于 PID 为 362 的进程中的所有 cainstrm 插件文件:
secons –v 362 trace "cainstrm trace:option:filtering:4294967295"
|
版权所有 © 2013 CA。
保留所有权利。
|
|