通过

你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

来自 OT 网络传感器的 CLI 命令参考

本文列出了 Defender for IoT OT 网络传感器提供的 CLI 命令。

谨慎

只有 OT 网络传感器上已记录的配置参数才支持客户配置。 请勿更改任何未记录的配置参数或系统属性,因为更改可能会导致意外行为和系统故障。

在不Microsoft批准的情况下从传感器中删除包可能会导致意外结果。 传感器功能的正常运作需要所有已安装的软件包。

先决条件

在运行以下任何 CLI 命令之前,您需要以特权用户身份访问 OT 网络传感器上的 CLI。

虽然本文列出了每个用户的命令语法,但我们建议对支持 admin 用户的所有 CLI 命令使用 admin 用户。

有关更多信息,请参阅 访问 CLI用于 OT 监控的特权用户访问

可用命令列表

类别 指令
配置 配置
系统 备份
日期
主机名
ntp
密码
重启
健全
性 shell
关闭
syslog
版本
网络
blink capture-filter
list
ping
reconfigure
statistics
validate

列出类别中的命令

要在类别中列出命令,请键入 help。 例如:

shell> help
config:
network:
system:

shell> help system
backup:
date:
ntp:

shell 和类别级别的命令

您可以在 shell 或类别级别键入命令。

在 shell 级别键入: <category><命令><参数>。

或者,键入 <类别> 并按 ENTER。 shell 将更改为类别名称,然后键入 <command><parameter>。 例如:

shell> system ntp enable 10.0.0.1
Starting ntp-enable 10.0.0.1
.....
Finished ntp-enable

shell> system
system> ntp enable 10.0.0.1
Starting ntp-enable 10.0.0.1
.....
Finished ntp-enable

设备维护

检查 OT 监视服务运行状况

使用以下命令验证 OT 传感器上的 Defender for IoT 应用程序是否正常工作,包括 Web 控制台和流量分析过程。

运行状况检查也可从 OT 传感器控制台获得。 有关详细信息,请参阅对传感器进行故障排除

用户 指令 完整命令语法
管理 system sanity 无属性
CyberX 或具有 root 访问权限的管理员 cyberx-xsense-sanity 无属性

以下示例显示了 admin 用户的命令语法和响应:

shell> system sanity
[+] C-Cabra Engine | Running for 17:26:30.191945
[+] Cache Layer | Running for 17:26:32.352745
[+] Core API | Running for 17:26:28
[+] Health Monitor | Running for 17:26:28
[+] Horizon Agent 1 | Running for 17:26:27
[+] Horizon Parser | Running for 17:26:30.183145
[+] Network Processor | Running for 17:26:27
[+] Persistence Layer | Running for 17:26:33.577045
[+] Profiling Service | Running for 17:26:34.105745
[+] Traffic Monitor | Running for 17:26:30.345145
[+] Upload Manager Service | Running for 17:26:31.514645
[+] Watch Dog | Running for 17:26:30
[+] Web Apps | Running for 17:26:30

System is UP! (medium)

重新启动设备

使用以下命令重启 OT 传感器设备。

用户 指令 完整命令语法
管理 system reboot 无属性
cyberx_host 或具有 root 访问权限的 admin sudo reboot 无属性

例如,对于 admin 用户:

shell> system reboot

关闭设备

使用以下命令关闭 OT 传感器设备。

用户 指令 完整命令语法
管理 system shutdown 无属性
cyberx_host 或具有 root 访问权限的管理员 sudo shutdown -r now 无属性

例如,对于 admin 用户:

shell> system shutdown

显示已安装的软件版本

使用以下命令列出 OT 传感器上安装的 Defender for IoT 软件版本。

用户 指令 完整命令语法
管理 system version 无属性
cyberx 或具有 root 访问权限的 Admin cyberx-xsense-version 无属性

例如,对于 admin 用户:

shell> system version
Version: 22.2.5.9-r-2121448

显示当前系统日期/时间

使用以下命令以 GMT 格式显示 OT 网络传感器上的当前系统日期和时间。

用户 指令 完整命令语法
管理 system date 无属性
cyberx 或具有 root 访问权限的 Admin date 无属性
cyberx_host 或具有 root 访问权限的 admin date 无属性

例如,对于 admin 用户:

shell> system date
Thu Sep 29 18:38:23 UTC 2022
shell>

打开 NTP 时间同步

使用以下命令打开设备时间与 NTP 服务器的同步。

要使用这些命令,请确保:

  • 可以从设备管理端口访问 NTP 服务器
  • 您可以使用同一 NTP 服务器同步所有传感器设备
用户 指令 完整命令语法
管理 system ntp enable <IP address> 无属性
cyberx 或具有 root 访问权限的 Admin cyberx-xsense-ntp-enable <IP address> 无属性

在这些命令中, <IP address> 是使用端口 123 的有效 IPv4 NTP 服务器的 IP 地址。

例如,对于 admin 用户:

shell> system ntp enable 129.6.15.28

关闭 NTP 时间同步

使用以下命令关闭设备时间与 NTP 服务器的同步。

用户 指令 完整命令语法
管理 system ntp disable <IP address> 无属性
cyberx 或具有 root 访问权限的 Admin cyberx-xsense-ntp-disable <IP address> 无属性

在这些命令中, <IP address> 是使用端口 123 的有效 IPv4 NTP 服务器的 IP 地址。

例如,对于 admin 用户:

shell> system ntp disable 129.6.15.28

备份和还原

以下部分介绍支持备份和还原 OT 网络传感器的系统快照的 CLI 命令。

备份文件包括传感器状态的完整快照,包括配置设置、基准值、清单数据和日志。

谨慎

请勿中断系统备份或还原作,因为这可能会导致系统变得不可用。

启动即时、未计划的备份

使用以下命令开始对 OT 传感器上的数据进行即时、计划外的备份。 有关详细信息,请参阅 设置备份和还原文件

谨慎

确保在备份数据时不要停止或关闭设备电源。

用户 指令 完整命令语法
管理 system backup create 无属性
cyberx 或具有 root 访问权限的 Admin cyberx-xsense-system-backup 无属性

例如,对于 admin 用户:

shell> system backup create
Backing up DATA_KEY
...
...
Finished backup. Backup is stored at /var/cyberx/backups/e2e-xsense-1664469968212-backup-version-22.2.6.318-r-71e6295-2022-09-29_18:29:55.tar
Setting backup status 'SUCCESS' in redis
shell>

列出当前备份文件

使用以下命令列出当前存储在 OT 网络传感器上的备份文件。

用户 指令 完整命令语法
管理 system backup list 无属性
cyberx 或具有 root 访问权限的 Admin cyberx-xsense-system-backup-list 无属性

例如,对于 admin 用户:

shell> system backup list
backup files:
        e2e-xsense-1664469968212-backup-version-22.3.0.318-r-71e6295-2022-09-29_18:30:20.tar
        e2e-xsense-1664469968212-backup-version-22.3.0.318-r-71e6295-2022-09-29_18:29:55.tar
shell>

从最近的备份中恢复数据

使用以下命令使用最新的备份文件还原 OT 网络传感器上的数据。 出现提示时,确认您要继续。

谨慎

确保在还原数据时不要停止或关闭设备电源。

用户 指令 完整命令语法
管理 system restore 无属性
CyberX 或具有 root 访问权限的管理员 cyberx-xsense-system-restore -f <filename>

例如,对于 admin 用户:

shell> system restore
Waiting for redis to start...
Redis is up
Use backup file as "/var/cyberx/backups/e2e-xsense-1664469968212-backup-version-22.2.6.318-r-71e6295-2022-09-29_18:30:20.tar" ? [Y/n]: y
WARNING - the following procedure will restore data. do not stop or power off the server machine while this procedure is running. Are you sure you wish to proceed? [Y/n]: y
...
...
watchdog started
starting components
shell>

显示备份磁盘空间分配

以下命令列出了当前的备份磁盘空间分配,包括以下详细信息:

  • 备份文件夹位置
  • 备份文件夹大小
  • 备份文件夹限制
  • 上次备份作时间
  • 可用于备份的可用磁盘空间
用户 指令 完整命令语法
管理 cyberx-backup-memory-check 无属性

例如,对于 admin 用户:

shell> cyberx-backup-memory-check
2.1M    /var/cyberx/backups
Backup limit is: 20Gb
shell>

本地用户管理

更改本地用户密码

使用以下命令更改 OT 传感器上本地用户的密码。 新密码必须至少为 8 个字符,包含小写和大写、字母字符、数字和符号。

当您更改 管理员 的密码时,SSH 和 Web Access 的密码也会更改。

用户 指令 完整命令语法
管理 system password <username>

以下示例显示了 admin 用户更改密码的过程。 键入新密码时,新密码不会出现在屏幕上,请务必写下以记下它,并确保在要求重新输入密码时输入正确。

shell>system password user1
Enter New Password for user1: 
Reenter Password:
shell>

网络配置

更改网络配置或重新分配网络接口角色

使用以下命令重新运行 OT 监视软件配置向导,该向导可帮助您定义或重新配置以下 OT 传感器设置:

  • 启用/禁用 SPAN 监控接口
  • 配置管理接口的网络设置(IP、子网、默认网关、DNS)
  • 分配备份目录
用户 指令 完整命令语法
管理 network reconfigure 无属性
赛博 X python3 -m cyberx.config.configure 无属性

例如,使用 admin 用户:

shell> network reconfigure

运行此命令后,配置向导会自动启动。 有关详细信息,请参阅安装 OT 监视软件

验证并显示网络接口配置

使用以下命令验证并显示 OT 传感器上的当前网络接口配置。

用户 指令 完整命令语法
管理 network validate 无属性

例如,对于 admin 用户:

shell> network validate
Success! (Appliance configuration matches the network settings)
Current Network Settings:
interface: eth0
ip: 172.20.248.69
subnet: 255.255.192.0
default gateway: 10.1.0.1
dns: 168.63.129.16
monitor interfaces mapping: local_listener=adiot0
shell>

检查来自 OT 传感器的网络连接

使用以下命令从 OT 传感器发送 ping 消息。

用户 指令 完整命令语法
管理 ping <IP address> 无属性
cyberx 或具有 root 访问权限的 Admin ping <IP address> 无属性

在这些命令中, <IP address> 是从 OT 传感器上的管理端口访问的有效 IPv4 网络主机的 IP 地址。

通过闪烁接口灯找到物理端口

使用以下命令通过使接口指示灯闪烁来定位特定的物理接口。

用户 指令 完整命令语法
管理 network blink <INT> 无属性

在此命令中, <INT> 是设备上的物理以太网端口。

以下示例显示了 admin 用户闪烁 eth0 接口:

shell> network blink eth0
Blinking interface for 20 seconds ...

列出连接的物理接口

使用以下命令列出 OT 传感器上连接的物理接口。

用户 指令 完整命令语法
管理 network list 无属性
CyberX 或具有 root 访问权限的管理员 ifconfig 无属性

例如,对于 admin 用户:

shell> network list
adiot0: flags=4419<UP,BROADCAST,RUNNING,PROMISC,MULTICAST>  mtu 4096
        ether be:b1:01:1f:91:88  txqueuelen 1000  (Ethernet)
        RX packets 2589575  bytes 740011013 (740.0 MB)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 1  bytes 90 (90.0 B)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

eth0: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 1500
        inet 172.18.0.2  netmask 255.255.0.0  broadcast 172.18.255.255
        ether 02:42:ac:12:00:02  txqueuelen 0  (Ethernet)
        RX packets 22419372  bytes 5757035946 (5.7 GB)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 23078301  bytes 2544599581 (2.5 GB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

lo: flags=73<UP,LOOPBACK,RUNNING>  mtu 65536
        inet 127.0.0.1  netmask 255.0.0.0
        loop  txqueuelen 1000  (Local Loopback)
        RX packets 837196  bytes 259542408 (259.5 MB)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 837196  bytes 259542408 (259.5 MB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

shell>

流量捕获过滤器

为了减少警报疲劳并将网络监视重点放在高优先级流量上,你可以在源上筛选流入 Defender for IoT 的流量。 捕获筛选器允许您在硬件层阻止高带宽流量,从而优化设备性能和资源使用。

使用包含/或排除列表在 OT 网络传感器上创建和配置捕获筛选器,确保不会阻止要监视的任何流量。

捕获筛选器的基本用例对所有 Defender for IoT 组件使用相同的筛选器。 但是,对于高级用例,可能需要为以下每个 Defender for IoT 组件配置单独的筛选器:

  • horizon:捕获深度数据包检测 (DPI) 数据
  • collector:捕获 PCAP 数据
  • traffic-monitor:捕获通信统计信息

注释

  • 捕获筛选器不适用于 Defender for IoT 恶意软件警报,这些警报会在检测到的所有网络流量上触发。

  • capture filter 命令具有字符长度限制,该限制基于捕获筛选条件定义的复杂性和可用的网络接口卡功能。 如果请求的 filter 命令失败,请尝试将子网分组到更大的范围中,并使用较短的 capture filter 命令。

为所有组件创建基本过滤器

用于配置基本捕获过滤器的方法因执行命令的用户而异:

  • cyberx user:运行具有特定属性的指定命令以配置捕获筛选条件。
  • 管理员 用户:运行指定的命令,然后按照 CLI 的提示输入值,在 nano 编辑器中编辑包含和排除列表。

使用以下命令创建新的捕获筛选条件:

用户 指令 完整命令语法
管理 network capture-filter 无特性。
CyberX 或具有 root 访问权限的管理员 cyberx-xsense-capture-filter cyberx-xsense-capture-filter [-h] [-i INCLUDE] [-x EXCLUDE] [-etp EXCLUDE_TCP_PORT] [-eup EXCLUDE_UDP_PORT] [-itp INCLUDE_TCP_PORT] [-iup INCLUDE_UDP_PORT] [-vlan INCLUDE_VLAN_IDS] -m MODE [-S]

cyberx 用户支持的属性定义如下:

特征 DESCRIPTION
-h--help 显示帮助消息并退出。
-i <INCLUDE>--include <INCLUDE> 包含要包含的设备和子网掩码的文件的路径,其中 <INCLUDE> 是文件的路径。 例如,请参阅 示例包含或排除文件
-x EXCLUDE--exclude EXCLUDE 包含要排除的设备和子网掩码的文件的路径,其中 <EXCLUDE> 是文件的路径。 例如,请参阅 示例包含或排除文件
- -etp <EXCLUDE_TCP_PORT>--exclude-tcp-port <EXCLUDE_TCP_PORT> 排除任何指定端口上的 TCP 流量,其中 定义 <EXCLUDE_TCP_PORT> 要排除的一个或多个端口。 用逗号分隔多个端口,不要有空格。
-eup <EXCLUDE_UDP_PORT>--exclude-udp-port <EXCLUDE_UDP_PORT> 排除任何指定端口上的 UDP 流量,其中 定义 <EXCLUDE_UDP_PORT> 要排除的一个或多个端口。 用逗号分隔多个端口,不要有空格。
-itp <INCLUDE_TCP_PORT>--include-tcp-port <INCLUDE_TCP_PORT> 包括任何指定端口上的 TCP 流量,其中 定义 <INCLUDE_TCP_PORT> 要包含的一个或多个端口。 用逗号分隔多个端口,不要有空格。
-iup <INCLUDE_UDP_PORT>--include-udp-port <INCLUDE_UDP_PORT> 包括任何指定端口上的 UDP 流量,其中 定义 <INCLUDE_UDP_PORT> 要包含的一个或多个端口。 用逗号分隔多个端口,不要有空格。
-vlan <INCLUDE_VLAN_IDS>--include-vlan-ids <INCLUDE_VLAN_IDS> 通过指定的 VLAN ID 包括 VLAN 流量, <INCLUDE_VLAN_IDS> 定义要包含的一个或多个 VLAN ID。 用逗号分隔多个 VLAN ID,不要有空格。
-p <PROGRAM>--program <PROGRAM> 定义要为其配置捕获过滤器的组件。 用于 all 基本使用案例,为所有组件创建单个捕获筛选条件。

对于高级使用案例,请为每个组件创建单独的捕获筛选条件。 有关更多信息,请参阅 为特定组件创建高级筛选条件
-m <MODE>--mode <MODE> 定义包含列表模式,并且仅在使用包含列表时相关。 使用下列值之一:

- internal:包括指定源和目标之间的所有通信
- all-connected:包括任一指定终端节点和外部终端节点之间的所有通信。

例如,对于终端节点 A 和 B,如果使用该 internal 模式,则包含的流量将仅包括终端节点 AB 之间的通信。
但是,如果您使用该 all-connected 模式,则包含的流量将包括 A B 与其他外部终端节点之间的所有通信。

示例包含或排除文件

例如,包含或排除 .txt 文件可能包含以下条目:

192.168.50.10
172.20.248.1

使用 admin 用户创建基本捕获过滤器

如果您以 admin 用户身份创建基本捕获筛选条件,则不会在 原始命令中传递任何属性。 相反,将显示一系列提示,以帮助您以交互方式创建捕获筛选器。

回复显示的提示如下:

  1. Would you like to supply devices and subnet masks you wish to include in the capture filter? [Y/N]:

    选择 Y 以打开新的包含文件,您可以在其中添加要包含在受监控流量中的设备、通道和/或子网。 包含文件中未列出的任何其他流量不会引入到 Defender for IoT。

    包含文件将在 Nano 文本编辑器中打开。 在 include 文件中,定义 devices、channels 和 subnets,如下所示:

    类型 DESCRIPTION 示例:
    设备 按 IP 地址定义设备。 1.1.1.1 包括此设备的所有流量。
    渠道 通过源设备和目标设备的 IP 地址定义通道,以逗号分隔。 1.1.1.1,2.2.2.2 包括此通道的所有流量。
    子网 按子网的网络地址定义子网。 1.1.1 包括此子网的所有流量。

    在单独的行中列出多个参数。

  2. Would you like to supply devices and subnet masks you wish to exclude from the capture filter? [Y/N]:

    选择 Y 以打开新的排除文件,您可以在其中添加要从受监控流量中排除的设备、通道和/或子网。 排除文件中未列出的任何其他流量都将引入到 Defender for IoT。

    排除文件将在 Nano 文本编辑器中打开。 在排除文件中,定义设备、通道和子网,如下所示:

    类型 DESCRIPTION 示例:
    设备 按 IP 地址定义设备。 1.1.1.1 排除此设备的所有流量。
    渠道 通过源设备和目标设备的 IP 地址定义通道,以逗号分隔。 1.1.1.1,2.2.2.2 排除这些设备之间的所有流量。
    按端口划分的频道 通过源设备和目标设备的 IP 地址以及流量端口定义通道。 1.1.1.1,2.2.2.2,443 排除这些设备之间使用指定端口的所有流量。
    子网 按子网的网络地址定义子网。 1.1.1 排除此子网的所有流量。
    子网通道 定义源子网和目标子网的子网通道网络地址。 1.1.1,2.2.2 排除这些子网之间的所有流量。

    在单独的行中列出多个参数。

  3. 回复以下提示以定义要包含或排除的任何 TCP 或 UDP 端口。 用逗号分隔多个端口,然后按 ENTER 跳过任何特定提示。

    • Enter tcp ports to include (delimited by comma or Enter to skip):
    • Enter udp ports to include (delimited by comma or Enter to skip):
    • Enter tcp ports to exclude (delimited by comma or Enter to skip):
    • Enter udp ports to exclude (delimited by comma or Enter to skip):
    • Enter VLAN ids to include (delimited by comma or Enter to skip):

    例如,输入多个端口,如下所示: 502,443

  4. In which component do you wish to apply this capture filter?

    Enter all 可查看基本捕获筛选器。 对于 高级用例,请分别为每个 Defender for IoT 组件创建捕获筛选器。

  5. Type Y for "internal" otherwise N for "all-connected" (custom operation mode enabled) [Y/N]:

    此提示允许您配置范围内的流量。 定义是要收集两个终端节点都在范围内,还是只收集其中一个终端节点位于指定子网中的流量。 支持的值包括:

    • internal:包括指定源和目标之间的所有通信
    • all-connected:包括任一指定终端节点和外部终端节点之间的所有通信。

    例如,对于终端节点 A 和 B,如果使用该 internal 模式,则包含的流量将仅包括终端节点 AB 之间的通信。
    但是,如果您使用该 all-connected 模式,则包含的流量将包括 A B 与其他外部终端节点之间的所有通信。

    默认模式为 internal。 要使用该 all-connected 模式,请在提示符处选择 Y ,然后输入 all-connected

以下示例显示了一系列提示,这些提示创建捕获筛选条件以排除子网 192.168.x.x 和端口 9000:

root@xsense: network capture-filter
Would you like to supply devices and subnet masks you wish to include in the capture filter? [y/N]: n
Would you like to supply devices and subnet masks you wish to exclude from the capture filter? [y/N]: y
You've exited the editor. Would you like to apply your modifications? [y/N]: y
Enter tcp ports to include (delimited by comma or Enter to skip):
Enter udp ports to include (delimited by comma or Enter to skip):
Enter tcp ports to exclude (delimited by comma or Enter to skip):9000
Enter udp ports to exclude (delimited by comma or Enter to skip):9000
Enter VLAN ids to include (delimited by comma or Enter to skip):
In which component do you wish to apply this capture filter?all
Would you like to supply a custom base capture filter for the collector component? [y/N]: n
Would you like to supply a custom base capture filter for the traffic_monitor component? [y/N]: n
Would you like to supply a custom base capture filter for the horizon component? [y/N]: n
type Y for "internal" otherwise N for "all-connected" (custom operation mode enabled) [Y/n]: internal
Please respond with 'yes' or 'no' (or 'y' or 'n').
type Y for "internal" otherwise N for "all-connected" (custom operation mode enabled) [Y/n]: y
starting "/usr/local/bin/cyberx-xsense-capture-filter --exclude /var/cyberx/media/capture-filter/exclude --exclude-tcp-port 9000 --exclude-udp-port 9000 --program all --mode internal --from-shell"
No include file given
Loaded 1 unique channels
(000) ret      #262144
(000) ldh      [12]
......
......
......
debug: set new filter for horizon '(((not (net 192.168))) and (not (tcp port 9000)) and (not (udp port 9000))) or (vlan and ((not (net 192.168))) and (not (tcp port 9000)) and (not (udp port 9000)))'
root@xsense:

为特定组件创建高级过滤器

为特定组件配置高级捕获筛选器时,可以使用初始包含和排除文件作为基本捕获筛选器或模板捕获筛选器。 然后,根据需要为 base 上的每个组件配置额外的过滤器。

为每个组件 创建捕获过滤器,请确保对每个组件重复整个过程。

注释

如果您为不同的组件创建了不同的捕获过滤器,则模式选择将用于所有组件。 不支持将一个组件的捕获筛选条件定义为 , internal 将另一个组件 all-connected 的捕获筛选条件定义为。

用户 指令 完整命令语法
管理 network capture-filter 无特性。
CyberX 或具有 root 访问权限的管理员 cyberx-xsense-capture-filter cyberx-xsense-capture-filter [-h] [-i INCLUDE] [-x EXCLUDE] [-etp EXCLUDE_TCP_PORT] [-eup EXCLUDE_UDP_PORT] [-itp INCLUDE_TCP_PORT] [-iup INCLUDE_UDP_PORT] [-vlan INCLUDE_VLAN_IDS] -p PROGRAM [-o BASE_HORIZON] [-s BASE_TRAFFIC_MONITOR] [-c BASE_COLLECTOR] -m MODE [-S]

以下额外属性供 cyberx 用户单独为每个组件创建捕获过滤器:

特征 DESCRIPTION
-p <PROGRAM>--program <PROGRAM> 定义要为其配置捕获过滤器的组件,其中 <PROGRAM> 具有以下支持的值:
- traffic-monitor
- collector
- horizon
- all:为所有零部件创建单个捕获过滤器。 有关更多信息,请参阅 为所有组件创建基本筛选条件
-o <BASE_HORIZON>--base-horizon <BASE_HORIZON> 定义组件的基本 horizon 捕获过滤器,其中 <BASE_HORIZON> 是要使用的过滤器。
默认值 = ""
-s BASE_TRAFFIC_MONITOR--base-traffic-monitor BASE_TRAFFIC_MONITOR 定义组件的基本 traffic-monitor 捕获过滤器。
默认值 = ""
-c BASE_COLLECTOR--base-collector BASE_COLLECTOR 定义组件的基本 collector 捕获过滤器。
默认值 = ""

其他属性值与 前面描述的基本用例中的描述相同。

使用 admin 用户创建高级捕获过滤器

如果您以 admin 用户身份单独为每个组件创建捕获过滤器,则不会在 原始命令中传递任何属性。 相反,将显示一系列提示,以帮助您以交互方式创建捕获筛选器。

大多数提示与 基本用例相同。 回复以下额外提示,如下所示:

  1. In which component do you wish to apply this capture filter?

    输入以下值之一,具体取决于要筛选的组件:

    • horizon
    • traffic-monitor
    • collector

  2. 系统将提示您为所选组件配置自定义基本捕获筛选器。 此选项使用您在前面步骤中配置的捕获筛选条件作为基本或模板,您可以在其中添加额外的配置。

    例如,如果您在上一步中选择为 collector 组件配置捕获筛选条件,系统会提示您: Would you like to supply a custom base capture filter for the collector component? [Y/N]:

    输入 Y 以自定义指定组件的模板,或 N 按原样使用您之前配置的捕获筛选条件。

继续执行其余提示,如 基本使用案例中所示。

列出特定组件的当前捕获过滤器

使用以下命令显示有关为您的传感器配置的当前捕获过滤器的详细信息。

用户 指令 完整命令语法
管理 使用以下命令查看每个组件的捕获筛选器:

- 地平线edit-config horizon_parser/horizon.properties
- traffic-monitor 的 Monitoredit-config traffic_monitor/traffic-monitor
- collector 中: edit-config dumpark.properties		 无属性
CyberX 或具有 root 访问权限的管理员 使用以下命令查看每个组件的捕获筛选器:

- 地平线nano /var/cyberx/properties/horizon_parser/horizon.properties
- traffic-monitor 的 Monitornano /var/cyberx/properties/traffic_monitor/traffic-monitor.properties
- collector 中: nano /var/cyberx/properties/dumpark.properties		 无属性

这些命令将打开以下文件,其中列出了为每个组件配置的捕获筛选条件:

名称 文件 资产
地平线 /var/cyberx/properties/horizon.properties horizon.processor.filter
流量监控器 /var/cyberx/properties/traffic-monitor.properties horizon.processor.filter
收藏家 /var/cyberx/properties/dumpark.properties dumpark.network.filter

例如,对于 admin 用户,如果为不包括子网 192.168.x.x 和端口 9000 的 收集器 组件定义了捕获过滤器:


root@xsense: edit-config dumpark.properties
  GNU nano 2.9.3                      /tmp/tmpevt4igo7/tmpevt4igo7

dumpark.network.filter=(((not (net 192.168))) and (not (tcp port 9000)) and (not
dumpark.network.snaplen=4096
dumpark.packet.filter.data.transfer=false
dumpark.infinite=true
dumpark.output.session=false
dumpark.output.single=false
dumpark.output.raw=true
dumpark.output.rotate=true
dumpark.output.rotate.history=300
dumpark.output.size=20M
dumpark.output.time=30S

重置所有捕获筛选器

使用以下命令将传感器重置为 cyberx 用户的默认捕获配置,删除所有捕获过滤器。

用户 指令 完整命令语法
CyberX 或具有 root 访问权限的管理员 cyberx-xsense-capture-filter -p all -m all-connected 无属性

如果要修改现有的捕获筛选器,请使用新的属性值再次运行 前面的 命令。

要使用 admin 用户重置所有捕获过滤器,请再次运行 前面的 命令,并响应 N 所有 提示 以重置所有捕获过滤器。

以下示例显示了 cyberx 用户的命令语法和响应:

root@xsense:/#  cyberx-xsense-capture-filter -p all -m all-connected
starting "/usr/local/bin/cyberx-xsense-capture-filter -p all -m all-connected"
No include file given
No exclude file given
(000) ret      #262144
(000) ret      #262144
debug: set new filter for dumpark ''
No include file given
No exclude file given
(000) ret      #262144
(000) ret      #262144
debug: set new filter for traffic-monitor ''
No include file given
No exclude file given
(000) ret      #262144
(000) ret      #262144
debug: set new filter for horizon ''
root@xsense:/#

后续步骤

详细了解 Defender for IoT CLI 命令