15명령줄 참조명령줄 참조
관리 서버를 깊이 다루다 보면 결국 명령줄이 필요합니다. 이 장은 R82 관리 서버에서 쓰는 모든 명령 계열을 명령 이름·하는 일·구문·핵심 파라미터 까지 빠짐없이 정리한 참조입니다. 일상 관리는 SmartConsole로 하되, 자동화·스크립팅·문제 해결 이 필요할 때 여기로 내려옵니다. 전체 명령 사전과 관리 API의 모든 옵션은 CLI Reference 가이드와 Check Point Management API Reference 가 담당하며, 이 장은 그중 관리 서버에서 가장 많이 쓰는 명령들을 골라 한국어로 풀어 둡니다.
구문 표기법 읽는 법
다른 장과 마찬가지로 이 참조도 명령·파라미터를 가능하면 알파벳 순 으로 싣고, 다음 약속을 따릅니다.
| 표기 | 뜻 | |
|---|---|---|
| TAB(들여쓰기) | 중첩된 하위 명령. 들여쓴 줄은 위 명령의 하위 명령이며, 실제로는 그중 하나 를 골라 실행합니다. | |
중괄호 { } | 세로줄 `\ | ` 로 구분된 후보 중 하나만 선택. |
꺾쇠 < > | 변수. 사용자가 실제 값을 직접 지정. | |
대괄호 [ ] | 선택적(optional) 항목. 넣어도 되고 안 넣어도 됩니다. |
예를 들어 아래처럼 쓰여 있으면
config
-a <options>
-d <options>
-p
-r
del <options>실제로는 cpwd_admin config -a <options>, cpwd_admin config -d <options>, cpwd_admin config -p, cpwd_admin config -r, 또는 cpwd_admin del <options> 중 하나의 명령 을 실행하라는 뜻입니다.
contract_util — 서비스 계약 다루기
contract_util 은 Check Point 서비스 계약(Service Contract) 파일을 다룹니다. 게이트웨이가 업그레이드 자격이 있는지 확인하고, 계약 정보를 내려받거나 게이트웨이로 전달합니다(자세한 배경은 sk33089 참고).
contract_util [-d]
check <options>
cpmacro <options>
download <options>
mgmt
print <options>
summary <options>
update <options>
verify| 하위 명령 | 하는 일 |
|---|---|
| check | 게이트웨이의 업그레이드 자격을 확인합니다. |
| cpmacro | 지정한 cp.macro 파일이 더 최신이면 현재 파일을 덮어씁니다. |
| download | User Center 또는 로컬 파일에서 모든 서비스 계약을 내려받습니다. |
| mgmt | 관리 서버의 계약 정보를 관리 대상 게이트웨이에 전달합니다. |
| 설치된 라이선스와 계약이 그 라이선스를 보장하는지 보여 줍니다. | |
| summary | 설치 후 요약과 업그레이드 자격 여부를 보여 줍니다. |
| update | User Center 계정에서 계약을 갱신합니다. |
| verify | check 와 같지만 반환값을 해석해 알기 쉬운 메시지로 보여 줍니다. |
contract_util check / verify
업그레이드 자격을 확인합니다. verify 는 같은 검사를 하되 결과를 사람이 읽기 좋은 문장으로 풀어 줍니다.
contract_util check {-h | -help}
hfa
maj_upgrade
min_upgrade
upgrade| 파라미터 | 설명 |
|---|---|
| hfa | 상위 Hotfix Accumulator로 올라갈 자격 확인. |
| maj_upgrade | 상위 Major 버전으로 올라갈 자격 확인. |
| min_upgrade | 상위 Minor 버전으로 올라갈 자격 확인. |
| upgrade | 업그레이드 자격 일반 확인. |
contract_util download
contract_util download {-h | -help}
local [{hfa | maj_upgrade | min_upgrade | upgrade}] <Service Contract File>
uc [-i] [{hfa | maj_upgrade | min_upgrade | upgrade}] <Username> <Password> [<Proxy Server> [<Proxy Username>:<Proxy Password>]]| 파라미터 | 설명 |
|---|---|
| local | 로컬 파일에서 계약을 가져옵니다(cplic contract put 와 동등). |
| uc | User Center에서 계약을 가져옵니다. |
| -i | 대화형 모드 — 자격 증명과 프록시 설정을 사용자에게 묻습니다. |
| <Username>/<Password> | User Center 계정 이메일과 비밀번호. |
| <Proxy Server> | User Center 연결에 사용할 프록시 서버 IP/호스트명(미지정 시 관리 데이터베이스의 프록시 사용). |
contract_util update
contract_util update [-proxy <Proxy Server>:<Proxy Port>] [-ca_path <Path to ca-bundle.crt File>]| 파라미터 | 설명 |
|---|---|
| -proxy | User Center 연결에 사용할 프록시 서버와 포트. |
| -ca_path | CA Bundle 파일(ca-bundle.crt) 경로(미지정 시 기본 경로 사용). |
cp_conf — 제품 설치 구성
cp_conf 는 설치된 Check Point 제품을 구성·재구성합니다. 관리 서버에서는 관리자·자동 시작·ICA·GUI 클라이언트·지문·라이선스를 다룹니다.
-h
admin <options>
auto <options>
ca <options>
client <options>
finger <options>
lic <options>
snmp <options>cp_conf admin
관리 서버의 시스템 관리자를 구성합니다(Multi-Domain Server에서는 미지원).
cp_conf admin
-h
add [<UserName> <Password> {a | w | r}]
add -gaia [{a | w | r}]
del <UserName1> <UserName2> ...
get| 파라미터 | 설명 |
|---|---|
| add | 관리자 추가. a=모든 권한(관리자 관리 포함), w=읽기·쓰기, r=읽기 전용. |
| add -gaia | Gaia 관리자 사용자 admin 추가. |
| del | 지정한 관리자 삭제. |
| get / get -gaia | 구성된 관리자 목록 / Gaia 관리자 권한 표시. |
cp_conf auto
부팅 시 어떤 Check Point 제품이 자동 시작될지 보여 주고 제어합니다.
cp_conf auto
-h
{enable | disable} <Product1> <Product2> ...
get allcp_conf ca
내부 인증 기관(ICA)의 설정을 바꿉니다.
cp_conf ca
-h
fqdn <FQDN Name>
init| 파라미터 | 설명 |
|---|---|
| fqdn <FQDN Name> | ICA의 FQDN(hostname.domainname) 구성. 기존 인증서나 ICA 인증서는 바뀌지 않으며, 이후 발급 인증서의 CRL DP 속성에 사용됩니다. |
| init | ICA 초기화. |
cp_conf client
SmartConsole로 접속할 수 있는 GUI 클라이언트를 구성합니다(Multi-Domain Server 미지원).
cp_conf client
add <GUI Client>
createlist <GUI Client 1> <GUI Client 2> ...
del <GUI Client 1> <GUI Client 2> ...
get<GUI Client> 는 IPv4/IPv6 주소 하나, 호스트명, "Any"(모든 주소), IP 범위(192.168.10.0/255.255.255.0), 또는 와일드카드(192.168.10.*) 가 될 수 있습니다. createlist 는 기존 목록을 지우고 새 목록을 만듭니다.
cp_conf finger
ICA의 지문(Fingerprint) 을 보여 줍니다. SmartConsole로 접속할 때 서버 신원을 확인하는 데 씁니다.
cp_conf finger
-h
getcp_conf lic
로컬 라이선스를 보고·추가·삭제합니다(각각 cplic 의 해당 명령과 동등).
cp_conf lic
-h
add -f <Full Path to License File>
add -m <Host> <Date> <Signature Key> <SKU/Features>
del <Signature Key>
get [-x]cp_log_export — syslog로 로그 내보내기
cp_log_export 는 Check Point 로그를 syslog로 내보냅니다(Log Exporter). Expert mode에서만 실행하고, Multi-Domain Server에서는 해당 Domain Management Server 컨텍스트에서 실행합니다.
cp_log_export <command-name> help| 내부 명령 | 하는 일 |
|---|---|
| add | 새 Log Exporter 구성 생성. |
| delete | 기존 Log Exporter 제거. |
| reexport | 위치를 초기화하고 로그를 다시 내보냄. |
| restart / start / stop | Exporter 프로세스 재시작 / 시작 / 중지. |
| set | 기존 구성 수정. |
| show / status | 현재 구성 / 개요 상태 표시. |
대표 예:
cp_log_export add name <Name> target-server <Target-Server> target-port <Target-Server-Port> protocol {udp | tcp} [Optional Arguments]
cp_log_export reexport name <Name> start-position <Pos> end-position <Pos> --apply-now주요 인자(대부분 add/set에서 선택적):
| 인자 | 설명 | |||||||
|---|---|---|---|---|---|---|---|---|
| name | 구성의 고유 이름(필수). 문자로 시작, 영문·숫자·-_. 사용. | |||||||
| target-server / target-port | 로그를 보낼 대상 서버 IP/FQDN과 수신 포트. | |||||||
| **protocol {tcp \ | udp}** | L4 전송 프로토콜. | ||||||
| format | `generic\ | cef\ | json\ | leef\ | logrhythm\ | rsa\ | splunk\ | syslog`(기본 syslog). |
| **encrypted {true\ | false}** | TLS(SSL) 암호화 사용 여부(기본 false). true 이면 ca-cert·client-cert·client-secret 필요. | ||||||
| **read-mode {raw \ | semi-unified}** | 로그 통합 방식. | ||||||
| filter-action-in / filter-blade-in / filter-origin-in | Action·Blade·Origin 필드 값으로 내보낼 로그를 필터링(각 값은 큰따옴표, 콤마로 구분). | |||||||
| **domain-server {mds \ | all}** | MDS에서 컨텍스트 지정. mds=MDS 레벨 로그만, all=모든 도메인. | ||||||
| --apply-now | add/set/delete/reexport 변경을 즉시 적용. |
cpca_client — 내부 인증 기관(ICA) 작업
cpca_client 는 ICA에 대해 인증서 발급·폐기·검색 같은 작업을 합니다. Multi-Domain Server에서는 mdsenv 로 도메인 컨텍스트에 들어가서 실행합니다. -d 는 디버그 모드(문제 해결 시에만, 출력은 파일로 리디렉션 권장).
cpca_client [-d]
create_cert <options>
double_sign <options>
get_crldp <options>
get_pubkey <options>
init_certs <options>
lscert <options>
revoke_cert <options>
revoke_non_exist_cert <options>
search <options>
set_ca_services <options>
set_cert_validity <options>
set_mgmt_tool <options>
set_sign_hash <options>cpca_client create_cert
관리 서버용 SIC 인증서를 발급합니다.
cpca_client [-d] create_cert [-p <CA port number>] -n "CN=<Common Name>" -f <Full Path to PKCS12 file> [-w <Password>] [-k {SIC | USER | IKE | ADMIN_PKG}] [-c "<Comment>"]| 파라미터 | 설명 |
|---|---|
| -p | CA 접속 TCP 포트(기본 18209). |
| -n "CN=..." | 인증서 CN. |
| -f | 인증서·키를 저장할 PKCS12 파일. |
| -w / -k / -c | 인증서 비밀번호 / 종류 / 주석(선택). |
cpca_client double_sign
인증서에 두 번째 서명을 만듭니다.
cpca_client [-d] double_sign [-p <CA port number>] -i <Certificate File in PEM format> [-o <Output File>]cpca_client get_crldp / get_pubkey
get_crldp 는 ICA에 구성된 FQDN을 보여 줍니다(CRL DP·CRL URL 구성에 사용, 기본 포트 18264). get_pubkey 는 ICA 인증서의 공개 키 인코딩을 파일로 저장합니다.
cpca_client [-d] get_crldp [-p <ICA port number>]
cpca_client [-d] get_pubkey [-p <CA port number>] <Full Path to Output File>cpca_client init_certs
사용자 DN 목록을 가져와 각 사용자별 등록 키 파일을 만듭니다. 입력 파일에서 각 DN 사이에는 빈 줄을 두어야 합니다.
cpca_client [-d] init_certs [-p <CA port number>] -i <Input File> -o <Output File>cpca_client lscert
ICA가 발급한 모든 인증서를 보여 줍니다(필터링 가능).
cpca_client [-d] lscert [-dn <SubString>] [-stat {Pending | Valid | Revoked | Expired | Renewed}] [-kind {SIC | IKE | User | LDAP}] [-ser <Serial>] [-dp <Distribution Point>]| 파라미터 | 설명 |
|---|---|
| -dn | DN 부분 문자열로 필터. |
| -stat | 인증서 상태로 필터. |
| -kind | 인증서 종류로 필터. |
| -ser | 일련번호로 필터. |
| -dp | 배포 지점(CDP)으로 필터. |
cpca_client revoke_cert / revoke_non_exist_cert
revoke_cert 는 발급된 인증서를 폐기합니다(-n CN, -s 일련번호 — 둘 중 하나 또는 함께). revoke_non_exist_cert 는 lscert 출력 형식의 목록 파일(-i)을 받아 존재하지 않는 인증서를 폐기합니다.
cpca_client [-d] revoke_cert [-p <CA port number>] -n "CN=<Common Name>" -s <Serial Number>
cpca_client [-d] revoke_non_exist_cert -i <Input File>cpca_client search
ICA에서 인증서를 검색합니다.
cpca_client [-d] search <String> [-where {dn | comment | serial | device_type | device_id | device_name}] [-kind {SIC | IKE | User | LDAP}] [-stat {Pending | Valid | Revoked | Expired | Renewed}] [-max <N>] [-showfp {y | n}]| 파라미터 | 설명 |
|---|---|
| <String> | 검색할 텍스트(공백 불가). |
| -where | 검색할 필드(기본은 모든 필드). |
| -kind / -stat | 종류·상태로 필터(여러 값 지정 가능). |
| -max | 최대 결과 수(기본 200). |
| -showfp | 지문·썸프린트 표시 여부(기본 y). |
cpca_client set_ca_services
관리 서버 TCP 포트 18268의 인증 기관 서비스 포털 을 켜고/끕니다. 이 포털에서 ICA 인증서를 내려받아 게이트웨이·VPN 피어·원격 접속 클라이언트에 신뢰용으로 설치합니다.
cpca_client set_ca_services {on | off}cpca_client set_cert_validity
새 인증서의 기본 유효 기간을 구성합니다(이후 만드는 인증서에만 적용).
cpca_client set_cert_validity -k {SIC | IKE | USER} [-y <Years>] [-d <Days>] [-h <Hours>] [-s <Seconds>]cpca_client set_mgmt_tool
ICA 관리 도구(기본 비활성)를 제어합니다. 포털은 SSL로 보호되며 TCP 18265에서 인증서로만 접속합니다(sk102837 참고).
cpca_client [-d] set_mgmt_tool {on | off | add | remove | clean | print} [-p <CA port number>] [{-a <Administrator DN> | -u <User DN> | -c <Custom User DN>}]| 파라미터 | 설명 |
|---|---|
| on / off | 도구 시작 / 중지. |
| add / remove / clean | 사용 허용 관리자·사용자 추가 / 제거 / 전체 제거. |
| 허용된 관리자·사용자 표시. | |
| -a / -u / -c | 관리자 / 사용자 / 커스텀 사용자의 전체 DN(SmartConsole에 표시되는 그대로). |
cpca_client set_sign_hash
CA가 파일 해시에 서명할 때 쓰는 해시 알고리즘을 설정합니다(기본 SHA-256).
cpca_client [-d] set_sign_hash {sha1 | sha256 | sha384 | sha512}cpca_create — ICA 데이터베이스 생성
cpca_create 는 새 내부 인증 기관 데이터베이스를 만듭니다.
cpca_create [-d] -dn <CA DN>cpconfig — 구성 도구
cpconfig 는 Check Point Configuration Tool 을 띄우는 대화형 메뉴입니다(설치 제품에 따라 항목이 달라짐). Multi-Domain Server에서는 mdsconfig 를 씁니다.
cpconfig| 메뉴 항목 | 하는 일 |
|---|---|
| Licenses and contracts | 라이선스·계약 관리. |
| Administrator / GUI Clients | 관리자 / SmartConsole 접속 클라이언트 구성. |
| Random Pool | Gaia가 쓰는 RSA 키 구성. |
| Certificate Authority / Certificate's Fingerprint | ICA 초기화·FQDN / 지문 표시. |
| Automatic start of Check Point Products | 부팅 시 자동 시작 제품 표시·제어. |
cpinfo — 진단 데이터 수집
cpinfo 는 실행 시점의 진단 데이터를 모읍니다. Check Point Support에 문의할 때 반드시 함께 제출 해야 합니다(sk92739).
cpinfocplic — 라이선스 관리
cplic 는 Check Point 라이선스를 관리합니다. 명령은 세 갈래입니다 — 로컬 라이선스(관리 서버·게이트웨이에서 로컬 실행), 원격 라이선스(관리 서버에서 관리 대상에 영향), 라이선스 저장소(repository)(관리 서버 전용).
cplic [-d] {-h | -help}
check / contract / del / print / put # 로컬
del / get / put / upgrade # 원격(관리 대상)
db_add / db_print / db_rm # 저장소(관리 서버)cplic check
로컬 게이트웨이·관리 서버 라이선스가 특정 기능을 포함하는지 확인합니다.
cplic [-d] check [-p <Product>] [-v <Version>] [{-c | -count}] [-t <Date>] [{-r | -routers}] [{-S | -SRusers}] <Feature>| 파라미터 | 설명 |
|---|---|
| -p | 제품(예: fw1, mgmt, cvpn, etm, eps). |
| -v | 제품 버전. |
| -c / -count | 이 기능에 연결된 라이선스 수. |
| -t <Date> | 미래 날짜(ddmmyyyy) 기준 상태 확인. |
| -r / -S | 허용 라우터 수 / SecuRemote 사용자 수 확인. |
cplic contract
로컬 컴퓨터의 서비스 계약을 설치·삭제합니다($CPDIR/conf/cp.contract).
cplic [-d] contract
del <Service Contract ID>
put [{-o | -overwrite}] <Service Contract File>cplic db_add / db_print / db_rm (저장소)
관리 서버 라이선스 저장소에 라이선스를 추가·조회·제거합니다.
cplic [-d] db_add -l <License File> [<Host>] [<Expiration Date>] [<Signature>] [<SKU/Features>]
cplic [-d] db_print {<Object Name> | -all} [{-n | -noheader}] [-x] [{-t | -type}] [{-a | -attached}]
cplic [-d] db_rm <Signature>| 파라미터 | 설명 |
|---|---|
| db_add -l | 라이선스 파일을 저장소에 추가(로컬 라이선스는 IP가 맞는 대상에 자동 부착). |
| db_print -all / -x / -t / -a | 전체 / 서명 포함 / 유형(Central·Local) / 부착 대상 표시. |
| db_rm <Signature> | 저장소에서 라이선스 제거. 반드시 cplic del 로 분리한 뒤에만 실행. |
cplic del / del <object name>
del 은 호스트의 라이선스를 삭제(불필요·만료·평가판 포함), del <Object Name> 은 원격 관리 대상에서 Central 라이선스를 분리해 저장소에 미부착 상태로 남깁니다.
cplic [-d] del [-F <Output File>] <Signature> <Object Name>
cplic [-d] del <Object Name> [-F <Output File>] [-ip <Dynamic IP Address>] <Signature>cplic get
관리 대상 게이트웨이·클러스터의 모든 라이선스를 저장소로 회수해 동기화합니다.
cplic [-d] get
-all
<IP Address>
<Host Name>cplic print
로컬에 설치된 라이선스 상세를 출력합니다(게이트웨이에서는 Local·Central 모두).
cplic [-d] print [{-n | -noheader}] [-x] [{-t | -type}] [-F <Output File>] [{-p | -preatures}] [-D]| 파라미터 | 설명 |
|---|---|
| -x | 서명 포함. |
| -t | 유형(Central·Local) 포함. |
| -p | 기본 기능(primitive feature)으로 해석해 표시. |
| -D | MDS에서 도메인 라이선스만 표시. |
cplic put / put <object name>
put 은 로컬 라이선스를 설치, put <Object Name> 은 원격 관리 대상에 Central/Local 라이선스를 부착(저장소 자동 갱신)합니다.
cplic [-d] put [{-o | -overwrite}] [{-c | -check-only}] [{-s | -select}] [-F <Output File>] [{-P | -Pre-boot}] [{-k | -kernel-only}] -l <License File> [<Host>] [<Expiration Date>] [<Signature>] [<SKU/Features>]
cplic [-d] put <Object Name> [-ip <Dynamic IP Address>] [-F <Output File>] -l <License File> ...| 파라미터 | 설명 |
|---|---|
| -o | 로컬 라이선스만 덮어씀(원격 설치 central 라이선스는 유지). |
| -c / -check-only | IP·서명 일치만 검증. |
| -s / -select | IP가 맞는 로컬 라이선스만 선택. |
| -P / -Pre-boot | 업그레이드 후 재부팅 전에 사용(오류 메시지 예방). |
| -ip | DAIP 게이트웨이의 동적 IP에 설치. |
cplic upgrade
지정한 라이선스 파일로 저장소의 라이선스를 업그레이드합니다.
cplic [-d] upgrade -l <Input File>cppkg — SmartUpdate 패키지 저장소
cppkg 는 관리 서버의 SmartUpdate 소프트웨어 패키지 저장소 를 관리합니다. Expert mode에서만, MDS에서는 mdsenv 컨텍스트에서 실행합니다.
add <options>
{del | delete} <options>
get
getroot
print
setroot <options>| 하위 명령 | 하는 일 | |
|---|---|---|
| add | 패키지 추가(기존 패키지를 덮어쓰지 않으므로 먼저 삭제 필요). 예: `cppkg add <Full Path to Package \ | DVD Drive [Product]>` |
| delete | 패키지 삭제(인자 없으면 대화형 메뉴). 예: cppkg delete "<Vendor>" "<Product>" "<Major>" "<OS>" "<Minor>" | |
| get | 저장소의 실제 내용을 기준으로 패키지 목록 갱신. | |
| getroot / setroot | 저장소 루트 디렉터리($SUROOT) 조회 / 설정(기본 /var/log/cpupgrade/suroot). | |
| 저장소의 패키지 목록 출력. |
cpprod_util — 제품·기능 레지스트리 조회
cpprod_util 은 Check Point 레지스트리($CPDIR/registry/HKLM_registry.data)를 직접 열지 않고 어떤 제품·기능이 켜졌는지 보고, 켜고/끕니다.
cpprod_util CPPROD_GetValue "<Product>" "<Parameter>" {0|1}
cpprod_util CPPROD_SetValue "<Product>" "<Parameter>" {1|4} "<Value>" {0|1}
cpprod_util -dump| 파라미터 | 설명 |
|---|---|
| CPPROD_GetValue | 제품·기능 구성 상태 조회(0=비활성, 1=활성). |
| CPPROD_SetValue | 구성 설정. Check Point Support·R&D 지시 없이는 실행 금지. |
| -dump | 레지스트리 덤프 파일 RegDump 생성. |
인자 없이 실행하면 사용 가능한 제품·기능 목록이 출력됩니다. 자주 쓰는 조회: FwIsFirewallMgmt(관리 서버 여부), FwIsStandAlone, FwIsPrimary/FwIsActiveManagement/FwIsSMCBackup(HA 역할), FwIsLogServer, RtIsAnalyzerServer(SmartEvent), UepmIsInstalled(Endpoint 정책 관리). 출력을 파일로 받으려면 stderr도 함께 리디렉션합니다: cpprod_util <options> > <file> 2>&1.
cprid — 원격 설치 데몬
cprid(Check Point Remote Installation Daemon)는 관리 대상 게이트웨이의 원격 업그레이드·설치에 쓰입니다. Expert mode·MDS 컨텍스트에서 실행합니다.
| 명령 | 하는 일 |
|---|---|
| cpridstart | cprid 데몬 시작. |
| cpridstop | cprid 데몬 중지. |
| run_cprid_restart | 중지 후 다시 시작. |
cprinstall — 원격 게이트웨이 제품 설치
cprinstall 은 관리 대상 게이트웨이에 제품 패키지를 설치하고 관련 작업을 수행합니다. SmartUpdate 라이선스가 필요하고, 게이트웨이에 SIC 신뢰·cpd·cprid 데몬이 있어야 합니다.
boot / cprestart / cpstart / cpstop <options>
delete / get / install / revert / show / snapshot / transfer / uninstall / verify <options>| 하위 명령 | 하는 일 |
|---|---|
| boot | 게이트웨이 재부팅. |
| cprestart / cpstart / cpstop | 게이트웨이에서 해당 명령 실행. cpstop 은 -proc(정책 유지) / -nopolicy(정책 언로드) 선택. |
| delete / show / snapshot / revert | SecurePlatform 스냅샷 삭제 / 목록 / 생성 / 복원. |
| get | 게이트웨이의 제품·OS 정보를 가져와 관리 데이터베이스 갱신. |
| install | 제품 설치. [-boot](설치 후 재부팅) [-backup](설치 전 스냅샷) [-skip_transfer]. |
| transfer | 패키지를 설치 없이 게이트웨이로 전송. |
| uninstall | 제품 제거([-boot]). |
| verify | 설치 가능 여부·OS 적합성·디스크 공간·CPRID 연결 확인. |
설치·전송·검증·제거는 대상과 패키지 속성을 함께 지정합니다(속성 값은 cppkg print 로 확인):
cprinstall install [-boot] [-backup] [-skip_transfer] <Object Name> "<Vendor>" "<Product>" "<Major Version>" "<Minor Version>"cpstart / cpstop — Check Point 서비스 시작·중지
cpstart 는 모든 Check Point 프로세스·애플리케이션을 수동으로 시작, cpstop 은 중지합니다(cprid 데몬은 cprid 명령 사용).
cpstopcpstat — 상태·통계 조회
cpstat 는 Check Point 애플리케이션의 상태와 통계를 보여 줍니다. 파라미터 순서는 자유입니다.
cpstat [-d] [-h <Host>] [-p <Port>] [-s <SICname>] [-f <Flavor>] [-o <Polling Interval> [-c <Count>] [-e <Period>]] <Application Flag>| 파라미터 | 설명 |
|---|---|
| -h <Host> | 관리 서버에서 실행 시 대상 게이트웨이/ClusterXL 객체(기본 localhost). |
| -p <Port> | AMON 서버 포트(기본 18192). |
| -s <SICname> | AMON 서버의 SIC 이름. |
| -f <Flavor> | 수집할 정보 유형(미지정 시 Application Flag의 첫 flavor). |
| -o / -c / -e | 폴링 간격(초) / 반복 횟수 / 통계 계산 기간. |
| <Application Flag> | 필수. 애플리케이션·소프트웨어 블레이드 식별자. |
자주 쓰는 Application Flag와 flavor: os(default, cpu, memory, perf, disk, routing, all …), fw(default, policy, perf, totals …), mg(관리 서버 — default, log_server, indexer), ca(default, crl, cert, user, all), ha(고가용성), blades(켜진 블레이드 목록), vpn·ips·appi·urlf·antimalware·threat-emulation·vsx·thresholds 등. 예: cpstat os -f perf -o 2 -c 2 -e 60, cpstat -f default mg.
cpview — 텍스트 기반 모니터링
cpview 는 시스템(CPU·메모리·디스크)과 소프트웨어 블레이드 통계를 실시간으로 보여 주는 내장 도구입니다(sk101878).
cpview --help화면은 Header(통계 수집 시각), Navigation(메뉴 바), View(통계)로 나뉩니다. 주요 키: 화살표(이동·스크롤), Enter(View 모드/하위 메뉴), Esc(Menu 모드), Home(개요), R(새로 고침 주기 변경, 기본 2초), W(넓은/일반 표시), P(일시정지/재개), C(현재 페이지 파일 저장), Space(즉시 새로 고침), Q(종료).
cpwd_admin — WatchDog 관리
Check Point WatchDog(cpwd)는 fwm·fwd·cpd·DAService 같은 핵심 프로세스를 감시하고 실패하면 다시 띄웁니다. 감시는 Passive(비정상 종료 시에만 재시작, MON=N)와 Active(주기적으로 정상 동작 확인, MON=Y, 목록은 Check Point가 고정)로 나뉩니다. 로그는 $CPDIR/log/cpwd.elg.
config / del / detach / exist / flist / getpid / kill / list / monitor_list / start / start_monitor / stop / stop_monitor <options>| 하위 명령 | 하는 일 |
|---|---|
| config | WatchDog 구성 변경(변경 후 cpstop·cpstart 필요). |
| del / detach | 감시 대상에서 일시 삭제 / 분리(프로세스는 살아 있음, 재부팅·cpstart까지 유효). |
| exist | cpwd 생존 여부 확인. |
| flist | 모든 감시 프로세스 상태를 파일로 저장([-full]). |
| getpid | 감시 프로세스의 PID 표시. |
| kill | cpwd 종료. Support·R&D 지시 없이는 금지. |
| list / monitor_list | 모든 / 능동 감시 프로세스 상태 화면 출력([-full]). |
| start / stop | 프로세스를 감시 대상으로 시작 / 감시 프로세스 중지. |
| start_monitor / stop_monitor | 능동 감시 시작 / 중지. |
cpwd_admin config
cpwd_admin config
-h
-a <Param>=<Value> ...
-d <Param> ...
-p
-r| 파라미터 | 설명 |
|---|---|
| -a | 구성 파라미터 추가(이름·=·값 사이 공백 금지). |
| -d / -p / -r | 추가한 파라미터 삭제 / 표시 / 기본값 복원. |
구성 파라미터(기본값): rerun_mode(1=실패 시 재시작, 0=감시·로그만), no_limit(재시작 최대 횟수, 기본 5, -1=무제한, 0=안 함), sleep_timeout(실패 후 재시작까지 대기 초, 기본 60), sleep_mode, stop_timeout(중지 명령 대기, 기본 60), reset_startups(시작 카운터 리셋 대기, 기본 3600), zero_timeout(no_limit 소진 후 재시도까지, 기본 7200), num_of_procs(감시 최대 프로세스 수, 기본 10000).
cpwd_admin start / stop
cpwd_admin start -name <Application Name> -path "<Full Path>" -command "<Command>" [-env {inherit | <Var>=<Value>}] [-slp_timeout <Timeout>] [-retry_limit {<Limit> | u}]
cpwd_admin stop -name <Application Name> [-path "<Full Path>" -command "<Command>" [-env ...]]-name 은 list 출력의 APP 열 이름(FWM·FWD·CPD·CPM 등), -path 는 실행 파일 전체 경로, -command 는 실행할 명령(모두 큰따옴표). 프로세스별 정확한 구문은 sk97638 참고. list 의 주요 열: APP·PID·STAT(E 실행/T 종료)·#START(시작 횟수)·START_TIME·MON(Y/N)·COMMAND.
dbedit — 관리 데이터베이스 직접 편집
dbedit 는 관리 서버의 데이터베이스 파일($FWDIR/conf/objects_5_0.C)을 직접 편집합니다.
dbedit [-globallock] [{-local | -s <Management_Server>}] [{-u <Username> | -c <Certificate>}] [-p <Password>] [-f <File_Name> [ignore_script_failure] [-continue_updating]] [-r "<Reason>"] [-d <Database_Name>] [-listen] [-readonly] [-session]| 파라미터 | 설명 |
|---|---|
| -globallock | 데이터베이스를 전역 잠금하고 복사본에서 작업. savedb 로 실제 DB에 반영. |
| -local | 사용자명·비밀번호 없이 localhost 연결. |
| -s / -u / -c / -p | 관리 서버 / 사용자명 / 인증서 / 비밀번호 지정. |
| -f <File_Name> | dbedit 내부 명령이 든 파일 실행(ignore_script_failure·-continue_updating 보조). |
| -readonly / -session | 읽기 전용 / 세션 모드. |
주요 내부 명령: create(객체 생성), delete(삭제), modify(속성 값 변경), rename(이름 변경), update / update_all(객체 저장), print / _print_set / printxml / printbyuid(객체·속성 출력), query(테이블 객체 조회), whereused(사용처 확인), addelement / rmelement / rmbyindex(다중 필드 요소 추가·제거), lock(객체 잠금), set_pass(사용자 비밀번호), savedb / savesession(저장), quit(종료, -update_all·-no_update). 예:
dbedit> create tcp_service my_service
dbedit> modify services My_Service color red
dbedit> query network_objects, management='true'fw — 로그·프로세스·SAM 작업
fw 는 보안/감사 로그 파일 작업, 프로세스 종료, 의심 활동 감시(SAM) 규칙 관리를 한데 묶은 명령입니다.
fw [-d]
fetchlogs / hastat / kill / log / logswitch / lslogs / mergefiles / repairlog / sam / sam_policy <options>fw fetchlogs
지정한 컴퓨터에서 보안($FWDIR/log/.log)·감사(.adtlog) 로그 파일을 가져옵니다.
fw [-d] fetchlogs [-f <Log File Name>]... <Target>fw hastat
고가용성 구성의 컴퓨터와 상태를 보여 줍니다.
fw hastat [<Target1>] [<Target2>] ... [<TargetN>]fw kill
지정한 Check Point 프로세스를 종료합니다.
fw [-d] kill [-t <Signal Number>] <Name of Process>-t 는 보낼 시그널 번호(미지정 시 15/SIGTERM). 프로세스 이름은 ps auxwf 로 확인. 종료한 프로세스는 다시 시작되는지 확인하거나 수동으로 재시작 하세요(sk97638).
fw log
보안·감사 로그 파일 내용을 보여 줍니다.
fw [-d] log [-a] [-b "<Start>" "<End>"] [-c <Action>] [{-f | -t}] [-g] [-H] [-h <Origin>] [-i] [-k {<Alert> | all}] [-l] [-m {initial | semi | raw}] [-n] [-o] [-p] [-q] [-S] [-s "<Start>"] [-e "<End>"] [-u <Scheme File>] [-w] [-x <Start>] [-y <End>] [-z] [-#] [<Log File>]| 파라미터 | 설명 | ||
|---|---|---|---|
| -a | Account 로그 항목만. | ||
| -b / -s / -e | 시작·종료 시각 사이 / 이후 / 이전 항목(-b 는 -s·-e 와 함께 못 씀). | ||
| -c <Action> | 특정 동작(accept·drop·reject·encrypt·authcrypt 등)만. | ||
| -f / -t | 끝에 도달 후 새 항목을 계속 감시(저장 항목 표시 / 미표시). | ||
| -h <Origin> | 특정 게이트웨이가 생성한 로그만. | ||
| **-m {initial \ | semi \ | raw}** | 로그 통합 모드(기본 initial). |
| -n / -p | DNS / 포트 이름 해석 안 함(기본, 처리 속도 향상). | ||
| -x / -y | 시작·종료 항목 번호 범위. | ||
| -# | 기밀 로그를 평문으로 표시. |
날짜·시간 형식은 MMM DD, YYYY, HH:MM:SS, 또는 둘 다(예: June 11, 2018 14:20:00).
fw logswitch
현재 활성 로그(fw.log·fw.adtlog)를 회전시켜 새 활성 로그를 시작합니다. 회전된 파일은 별도 이름으로 보존됩니다(이후 fw fetchlogs·fw lslogs 등으로 처리).
fw lslogs
로컬 또는 원격 컴퓨터의 로그 파일 목록(크기·이름)을 보여 줍니다.
fw mergefiles
여러 로그 파일을 하나로 병합합니다.
fw repairlog
로그 파일의 포인터 파일을 다시 만듭니다.
fw sam
의심 활동 감시(SAM) 규칙을 관리해, 정책 변경·재설치 없이 특정 IP로/에서의 연결을 차단합니다(sk112061). 적용된 규칙은 $FWDIR/log/sam.dat 에 저장(10만 건 도달 시 정리).
fw [-d] sam [-v] [-s <SAM Server>] [-S <SIC Name>] [-f <Security Gateway>] [-t <Timeout>] [-l <Log Type>] [-C] [-e <key=val>]+ [-r] -{n|i|I|j|J} <Criteria>
fw [-d] sam ... -D # 모든 SAM 규칙 삭제
fw [-d] sam ... [-r] -M -{i|j|n|b|q} all # 모든/조건별 SAM 규칙 감시| 파라미터 | 설명 |
|---|---|
| -s / -S | 명령을 적용할 SAM 서버 IP/호스트명 / SIC 이름. |
| -f <Security Gateway> | 적용 대상(All·localhost·Gateways·객체명·그룹명). |
| -t <Timeout> | 적용 기간(초, 기본 무기한). |
| -l <Log Type> | nolog / short_noalert / short_alert / long_noalert / long_alert(기본). |
| -n / -i / -I / -j / -J | Notify / 거부(reject) 차단 / reject+기존 종료 / drop 차단 / drop+기존 종료. |
| -b / -q | Bypass / Quarantine. |
| -C / -D | 지정 차단 취소 / 모든 inhibit·notify 취소. |
| -M ... all | 활성 SAM 요청 감시. |
<Criteria> 는 연결을 매칭하는 조건으로 src <IP>, dst <IP>, any <IP>, subsrc/subdst/subany <IP> <Netmask>, srv <Src> <Dst> <Port> <Protocol>, dstsrv, srcpr/dstpr <IP> <Protocol>, generic <key=val>(GTP — service·imsi·apn 등) 같은 조합을 씁니다.
fw sam_policy
fw sam_policy(또는 samp)는 의심 활동 정책 편집기 로 SAM 규칙과 Rate Limiting(속도 제한) 규칙을 함께 다룹니다(sk112061, sk112454). 관련 명령은 fw sam·sam_alert.
fwm — 관리 작업
fwm 은 다양한 관리 작업·정보 조회를 수행합니다. MDS에서는 해당 도메인 컨텍스트에서 실행합니다. -d 는 디버그.
fwm [-d]
dbload / exportcert / fetchfile / fingerprint / getpcap / ikecrypt / load / logexport / mds / printcert / sic_reset / snmp_trap / unload / ver / verify <options>fwm exportcert / printcert
exportcert 는 관리 대상 객체의 SIC 인증서를 파일로 내보내고, printcert 는 SIC 인증서 상세를 보여 줍니다.
fwm [-d] exportcert -obj <Object> -cert <CA> -file <Output File> [-withroot] [-pem]
fwm [-d] printcert
-obj <Object> [-cert <Nick Name>] [-verbose]
-ca <CA Name> [-x509 <File> [-p]] [-verbose]
-f <Binary Certificate File> [-verbose]fwm fetchfile
원격 관리 대상에서 OPSEC 구성 파일을 가져옵니다(conf/fwopsec.conf·conf/fwopsec.v4x 만 지원).
fwm [-d] fetchfile -r <File> [-d <Local Path>] <Source>fwm fingerprint
Check Point 지문을 보여 줍니다(SmartConsole 접속 시 신원 확인용).
fwm [-d] fingerprint [-d]
<IP address of Target> <SSL Port>
localhost <SSL Port><SSL Port> 기본은 443.
fwm getpcap
게이트웨이의 IPS 패킷 캡처 데이터를 가져옵니다($FWDIR/log/captures_repository/ 에 저장된 것만).
fwm [-d] getpcap -g <Security Gateway> -u '{<Capture UID>}' -p <Local Path><Capture UID> 는 SmartConsole의 Logs & Events에서 확인합니다.
fwm ikecrypt
Endpoint VPN Client 사용자 비밀번호를 IKE로 암호화합니다(결과는 LDAP DB에 저장).
fwm [-d] ikecrypt <Key> <Password><Key> 는 LDAP Account Unit 속성의 Encryption 탭에 정의된 IKE 키입니다.
fwm logexport
보안·감사 로그를 ASCII(표 형식) 파일로 내보냅니다.
fwm [-d] logexport [{-d <Delimiter> | -s}] [-t <Table Delimiter>] [-i <Input File>] [-o <Output File>] [{-f | -e}] [-x <Start>] [-y <End>] [-z] [-n] [-p] [-a] [-u <Scheme File>] [-m {initial | semi | raw}]| 파라미터 | 설명 |
|---|---|
| -d / -s | 필드 구분자 지정 / ASCII #255 사용(기본 ;). |
| -t | 테이블 필드 내부 구분자(기본 ,). |
| -i / -o | 입력 로그 파일 / 출력 파일(미지정 시 활성 로그 / 화면). |
| -x / -y / -m | 시작·종료 항목 번호 / 통합 모드. |
출력 필드는 $FWDIR/conf/logexport.ini 의 [Fields_Info] 에서 included_fields·excluded_fields 로 제어합니다(num 필드는 항상 첫째).
fwm mds
MDS 버전을 보여 주거나 Global VPN Community 상태 트리를 다시 만듭니다.
fwm [-d] mds
ver
rebuild_global_communities_status {all | missing}fwm sic_reset
관리 서버에서 SIC를 초기화합니다(sk65764).
fwm snmp_trap
지정한 호스트로 SNMPv1 Trap을 보냅니다.
fwm [-d] snmp_trap [-v <SNMP OID>] [-g <Generic Trap Number>] [-s <Specific Trap Number>] [-p <Source Port>] [-c <SNMP Community>] <Target> ["<Message>"]| 파라미터 | 설명 |
|---|---|
| -g | 제네릭 트랩 번호(0 coldStart … 6 enterpriseSpecific, 기본 6). |
| -s | 고유 트랩 유형(generic이 6일 때만, 기본 0). |
| -c | SNMP 커뮤니티. |
| <Target> | 대상 호스트 IP/호스트명. |
fwm unload
지정한 게이트웨이·클러스터 멤버에서 정책을 언로드합니다.
fwm [-d] unload <GW1> <GW2> ... <GWN>fwm ver
관리 서버의 Check Point 버전을 보여 줍니다.
fwm [-d] ver [-f <Output File>]inet_alert — ISP에 공격 알림
inet_alert 는 회사 네트워크가 공격받을 때 ISP(보통 ELA Proxy 운영)에 경보 로그를 전달 합니다. ELA 프로토콜을 쓰며, SmartConsole의 Global properties > Log and Alert > Alerts에서 "Run UserDefined script"로 등록합니다. Expert mode·MDS 컨텍스트에서 실행.
inet_alert -s <IP Address> [-o] [-a <Auth Type>] [-p <Port>] [-f <Token> <Value>] [-m <Alert Type>]| 파라미터 | 설명 |
|---|---|
| -s | ELA Proxy의 IPv4 주소. |
| -o | 받은 경보 로그를 stdout으로 출력(파이프용). |
| -a <Auth Type> | ssl_opsec(인증+암호화, 기본) / auth_opsec(인증) / clear(없음). |
| -p <Port> | ELA Proxy 포트(기본 18187). |
| -f <Token> <Value> | 로그에 추가할 필드(공백 불가, 여러 번 사용 가능). |
| -m <Alert Type> | ISP에서 발생시킬 경보(alert·mail·snmptrap·spoofalert). |
ldapcmd — LDAP 캐시·통계·로깅
ldapcmd 는 LDAP 캐시, 검색 통계, 경고 로깅을 제어합니다. Expert mode·MDS 컨텍스트에서 실행. 통계는 $FWDIR/log/ldap_pid_<PID>.stats 에 저장.
ldapcmd [-d <Debug Level>] -p {<Process Name> | all} <Command>| 명령 | 설명 | |||
|---|---|---|---|---|
| **cacheclear / cachetrace {all \ | UserCacheObject \ | TemplateCacheObject \ | TemplateExtGrpCacheObject}** | 캐시 비우기 / 추적(대상별). |
| **log {on \ | off}** | LDAP 로그 생성 켜기/끄기. | ||
| **stat {<Interval> \ | 0}** | 통계 수집 주기(초) / 중지. |
-d <Debug Level> 은 0(끄기)~5(최대).
ldapcompare — LDAP 비교 질의
ldapcompare 는 LDAP 디렉터리 서버에 비교(compare) 질의를 보내 일치 여부를 출력합니다.
ldapcompare [-d <Debug Level>] [<Options>] <DN> {<Attribute> <Value> | <Attribute> <Base64 Value>}주요 공통 옵션: -D <Bind DN>(관리자 DN), -w <Password> / -W(비밀번호 / 프롬프트), -h <Server> / -H <URI>(서버), -p <Port>(기본 389), -x(단순 인증), -Z / -ZZ(TLS / 성공 요구), -P <Version>(LDAP 버전, 기본 3), -v(상세), -n(드라이런). SASL 관련 -I·-O·-Q·-R·-U·-X·-Y 도 지원합니다.
ldapmemberconvert — Member → MemberOf 변환
ldapmemberconvert 는 LDAP 그룹의 Member 속성 값을 멤버(사용자·템플릿) 항목의 MemberOf 속성으로 옮깁니다. "MemberOf" 모드 또는 "Both" 모드로 변환하며, 로그는 작업 디렉터리의 ldapmemberconvert.log 에 남습니다.
ldapmemberconvert [-d <Debug Level>] -h <LDAP Server> -p <Port> -D <Admin DN> -w <Password> -m <Member Attribute Name> -o <MemberOf Attribute Name> -c <Member ObjectClass Value> [-B] [-f <File> | -g <Group DN>] [-L <Server Timeout>] [-M <Number of Updates>] [-S <Size>] [-T <Client Timeout>] [-Z]| 파라미터 | 설명 |
|---|---|
| -m / -o | 가져올 Member 속성 이름 / 추가할 MemberOf 속성 이름. |
| -c | 수정할 멤버 유형을 정하는 ObjectClass 값(여러 번 가능). |
| -B | "Both" 모드(그룹 항목은 그대로 두고 멤버에만 추가). |
| -f / -g | 그룹 DN 목록 파일 / 그룹·템플릿 DN(여러 번 가능). |
| -M | 동시 멤버 업데이트 최대 수(기본 20). 연결이 끊기면 값을 낮추세요. |
| -Z | SSL 연결 사용. |
ldapmodify — LDIF로 사용자 가져오기
ldapmodify 는 LDIF 형식 입력 파일로 LDAP 서버에 사용자를 가져옵니다. Expert mode·MDS 컨텍스트.
ldapmodify [-d <Debug Level>] [-h <Server>] [-p <Port>] [-D <Admin DN>] [-w <Password>] [-a] [-b] [-c] [-F] [-k] [-n] [-r] [-v] [-T <Client Timeout>] [-Z] [-f <Input File>.ldif | < <Entry>]| 파라미터 | 설명 |
|---|---|
| -a / -r | LDAP add 연산 / 값 추가 대신 교체. |
| -c / -F | 오류 무시하고 계속 / 모든 레코드 강제 변경. |
| -n | add를 실제 수행 없이 출력만. |
| -Z | SSL 연결. |
| -f / < <Entry> | LDIF 파일에서 읽기 / 표준 입력에서 읽기. |
ldapsearch — LDAP 디렉터리 질의
ldapsearch 는 LDAP 디렉터리를 질의해 결과를 반환합니다. Expert mode·MDS 컨텍스트.
ldapsearch [-d <Debug Level>] [-h <Server>] [-p <Port>] [-D <Admin DN>] [-w <Password>] [-A] [-B] [-b <Base DN>] [-F <Separator>] [-l <Server Timeout>] [-s <Scope>] [-S <Sort Attribute>] [-t] [-T <Client Timeout>] [-u] [-z <Number of Entries>] [-Z] <Filter> [<Attributes>]| 파라미터 | 설명 |
|---|---|
| -b <Base DN> | 검색 Base DN. |
| -s <Scope> | 검색 범위(base·one·sub). |
| -A / -u | 속성 이름만(값 제외) / 사용자 친화적 이름 표시. |
| -S <Attribute> | 해당 속성 값으로 정렬. |
| -z | 최대 검색 항목 수. |
| <Filter> | RFC-1558 검색 필터(예: objectclass=fw1host). |
| <Attributes> | 가져올 속성(미지정 시 전체). |
mgmt_cli — 관리 API 명령줄
mgmt_cli 는 관리 서버 데이터베이스와 직접 작업하는 자동화의 중심 도구입니다. Gaia(관리 서버·게이트웨이)와 Windows SmartConsole 컴퓨터에서 모두 동작합니다.
mgmt_cli <Command Name> <Command Parameters> <Optional Switches>Windows(64비트) SmartConsole에서는 먼저 설치 경로로 이동합니다:
cd /d "%ProgramFiles (x86)%\CheckPoint\SmartConsole\<VERSION>\PROGRAM\"
mgmt_cli.exe <Command Name> <Command Parameters> <Optional Switches>migrate / migrate_server — 관리 데이터베이스 이관
관리 데이터베이스와 구성을 내보내고(import) 가져옵니다. 백업·업그레이드 의 핵심 도구입니다(관리 서버 운영). Expert mode에서 실행.
- migrate — R80.10 이하 버전 데이터베이스 이관용($FWDIR/bin/upgrade_tools/).
- migrate_server — R80.20.M1·R80.20·R80.30 이상 이관용($FWDIR/scripts/, sk135172).
# migrate
./migrate export [-l | -x] [-n] [--exclude-uepm-postgres-db] [--include-uepm-msi-files] /<Full Path>/<Name>
./migrate import [-l | -x] [-n] ... /<Full Path>/<Name>.tgz
# migrate_server
./migrate_server verify -v R82 [-skip_upgrade_tools_check]
./migrate_server export -v R82 [-l | -x] [--ignore_warnings] /<Full Path>/<Name>
./migrate_server import -v R82 [-l | -x] [/var/log/mdss.json] /<Full Path>/<Name>.tgz
./migrate_server migrate_import_domain -v R82 ... /<Full Path>/<Name>.tgz| 파라미터 | 설명 |
|---|---|
| export / import / verify | 내보내기 / 가져오기 / (migrate_server) Pre-Upgrade Verifier 실행. |
| migrate_import_domain | (migrate_server) Domain Management Server 데이터베이스를 관리 서버로 가져오기. |
| -v R82 | 이관·업그레이드 대상 버전. |
| -l / -x | 로그를 인덱스 없이 / 인덱스와 함께 내보내기·가져오기(닫힌 로그만, 시간이 오래 걸림). |
| -n | 비대화형(기본값 사용). import 시 자동으로 cpstop 실행. |
| --exclude-uepm-postgres-db / --include-uepm-msi-files | Endpoint 서버의 PostgreSQL DB 제외 / MSI 파일 포함. |
| -skip_upgrade_tools_check | 업그레이드 도구 최신 버전 확인 생략(인터넷 미연결 서버에 권장). |
| --ignore_warnings | Pre-Upgrade Verifier 경고 무시(권장하지 않음 — 가능하면 모두 해결). |
| /var/log/mdss.json | (MDS) 서버 IPv4 변경 시 새 주소를 담은 JSON 구성 파일(모든 서버에 배치). |
queryDB_util — 데이터베이스 검색(구식)
queryDB_util 은 관리 데이터베이스에서 객체·정책 규칙을 검색합니다.
rs_db_tool — DAIP 데이터베이스 관리
rs_db_tool 은 동적 IP 게이트웨이(DAIP) 데이터베이스의 항목을 관리합니다. Expert mode·MDS 컨텍스트에서 실행.
rs_db_tool [-d] -operation add -name <Object Name> -ip <IPv4 Address> -ip6 <IPv6 Address> -TTL <Time-To-Live>
rs_db_tool [-d] -operation fetch -name <Object Name>
rs_db_tool [-d] -operation delete -name <Object Name>
rs_db_tool [-d] -operation list
rs_db_tool [-d] -operation sync| operation | 하는 일 |
|---|---|
| add / fetch / delete | 항목 추가 / 조회 / 삭제. |
| list / sync | 전체 항목 나열 / DAIP 데이터베이스 동기화. |
-TTL 은 항목이 유효한 상대 시간(초)입니다.
sam_alert — SAM 작업 자동 실행
sam_alert 는 표준 입력 또는 User Defined Alert 메커니즘으로 받은 정보에 따라 SAM 동작을 실행합니다(SAM v1·v2). 관리 서버에서, Expert mode·MDS 컨텍스트에서 실행. 관련 명령은 fw sam·fw sam_policy(sk110873: 포트 스캔 탐지·차단).
# SAM v1
sam_alert [-v] [-o] [-s <SAM Server>] [-t <Time>] [-f <Security Gateway>] [-C] {-n|-i|-I} {-src|-dst|-any|-srv}
# SAM v2
sam_alert -v2 [-v] [-O] [-S <SAM Server>] [-t <Time>] [-f <Security Gateway>] [-n <Name>] [-c "<Comment>"] [-o <Originator>] [-l {r | a}] -a {d | r | n | b | q | i} [-C] {-ip | -eth} {-src|-dst|-any|-srv}| 파라미터 | 설명 | |||||
|---|---|---|---|---|---|---|
| -s / -S | 연락할 SAM 서버(기본 localhost). | |||||
| -t <Time> | 적용 기간(초, 기본 무기한). | |||||
| -f | 적용 대상 게이트웨이·클러스터(미지정 시 모든 관리 대상). | |||||
| -n / -i / -I | (v1) Notify / 차단 / 차단+기존 종료. | |||||
| **-a {d\ | r\ | n\ | b\ | q\ | i}** | (v2) Drop / Reject / Notify / Bypass / Quarantine / Inspect. |
| **-l {r\ | a}** | (v2) 로그 유형 Regular / Alert. | ||||
| -ip / -eth | (v2) 조건을 IP 주소 / MAC 주소로. | |||||
| -src / -dst / -any / -srv | 출발지 / 목적지 / 둘 중 하나 / 특정 출발·목적·프로토콜·포트 매칭. |
stattest — AMON SNMP OID 질의
stattest 는 SNMP OID를 질의하는 Check Point AMON 클라이언트로, OID가 원하는 정보를 주는지 디버그용으로 확인합니다. Expert mode·MDS 컨텍스트.
stattest get [-d] [-h <Host>] [-p <Port>] [-x <Proxy Server>] [-v <VSID>] [-t <Timeout>] <Regular_OID_1> ... <Regular_OID_N>
stattest get [-d] [-h <Host>] [-p <Port>] [-x <Proxy Server>] -l <Polling Interval> -r <Polling Duration> [-v <VSID>] [-t <Timeout>] <Statistical_OID_1> ... <Statistical_OID_N>| 파라미터 | 설명 |
|---|---|
| -h / -p / -x | 대상 호스트 / AMON 포트(기본 18192) / 프록시 서버(원격 질의 시). |
| -l / -r | 통계 OID 질의 간격(초) / 지속 시간(초). |
| -t | 세션 타임아웃(밀리초). |
| <OID...> | 질의할 OID(마침표로 시작 금지, 공백 구분, 최대 100개). |
일반 OID는 SNMP MIB 파일(sk90470)에, 통계 OID는 $CPDIR/conf/statistical_oid.conf 에 정의됩니다. 통계 OID는 평균 계산 등을 위해 충분한 샘플 수집 시간이 필요합니다.
threshold_config — SNMP 모니터링 임계값
threshold_config 는 SNMP 트랩·경보를 발생시키는 SNMP 모니터링 임계값 을 구성하는 대화형 메뉴입니다(sk90860). 관리 서버·MDS·Domain Management Server에서만 구성하며, 정책 설치 때 게이트웨이·클러스터에 함께 적용됩니다. 설정은 $FWDIR/conf/thresholds.conf 에 저장.
threshold_config구성 흐름: ① Expert mode 진입(MDS는 mdsenv) → ② threshold_config 실행 → ③ 메뉴에서 설정 → ④ 종료 후 CPD 데몬 재시작 → ⑤ SmartConsole에서 정책 설치.
cpwd_admin stop -name CPD -path "$CPDIR/bin/cpd_admin" -command "cpd_admin stop"
cpwd_admin start -name CPD -path "$CPDIR/bin/cpd" -command "cpd"
cpwd_admin list | egrep "STAT|CPD"| 메뉴 항목 | 하는 일 |
|---|---|
| (1)(2) Show/Set policy name | 임계값 정책 이름 표시 / 설정(기본 "Default Profile"). |
| (3)(4)(5) Save / Save to file / Load from file | 정책 저장 / 파일로 내보내기 / 파일에서 가져오기. |
| (6) Configure global alert settings | 경보 발송 빈도(지연 30초 초과)·개수 등 전역 설정. |
| (7) Configure alert destinations | 경보를 받을 SNMP NMS 추가·제거·편집. |
| (8) View thresholds overview | 모든 임계값과 현재 설정(이름·범주·상태·임계점·설명) 표시. |
| (9) Configure thresholds | 범주별 임계값 구성. |
임계값 범주: Hardware(RAID·온도·팬·전압), High Availability(클러스터 상태·인터페이스), Local Logging Mode Status, Log Server Connectivity, Networking(인터페이스 상태·연결 속도·처리량·드롭), Resources(스왑·실 메모리·파티션 여유·코어 사용률·인터럽트).
---
이 장에서 본 명령들 중 다수는 다른 장에서 맥락과 함께 다시 등장합니다 — 정책·데이터베이스 설치는 정책 관리 기초, API 자동화는 API로 관리, 백업·이관·고가용성은 관리 서버 운영, 인증서·ICA는 인증 인프라에서 함께 보면 좋습니다. 전체 명령 사전과 관리 API의 모든 옵션은 CLI Reference 가이드와 Check Point Management API Reference가 담당합니다.