你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
OT 网络传感器的 CLI 命令参考
本文列出了 Microsoft Defender for IoT OT 网络传感器提供的 CLI 命令。
注意
客户配置仅支持 OT 网络传感器和本地管理控制台上记录的配置参数。 不要更改任何未记录的配置参数或系统属性,因为更改可能会导致意外行为和系统故障。
未经 Microsoft 批准从传感器中移除包可能会导致意外结果。 传感器上安装的所有包都是正确的传感器功能所必需的。
先决条件
在运行以下任何 CLI 命令之前,需要以特权用户身份访问 OT 网络传感器上的 CLI。
虽然本文列出了每个用户的命令语法,但建议对支持管理员用户的所有 CLI 命令使用管理员用户。
有关详细信息,请参阅访问 CLI 和用于 OT 监视的特权用户访问权限。
设备维护
检查 OT 监视服务运行状况
使用以下命令验证 OT 传感器上的 Defender for IoT 应用程序(包括 Web 控制台和流量分析进程)是否正常工作。
OT 传感器控制台也提供运行状况检查。 有关详细信息,请参阅对传感器进行故障排除。
| 用户 | 命令 | 完整命令语法 |
|---|---|---|
| admin | system sanity |
无属性 |
| 具有根访问权限的 cyberx 或管理员 | cyberx-xsense-sanity |
无属性 |
以下示例显示了管理员用户的命令语法和响应:
shell> system sanity
[+] C-Cabra Engine | Running for 17:26:30.191945
[+] Cache Layer | Running for 17:26:32.352745
[+] Core API | Running for 17:26:28
[+] Health Monitor | Running for 17:26:28
[+] Horizon Agent 1 | Running for 17:26:27
[+] Horizon Parser | Running for 17:26:30.183145
[+] Network Processor | Running for 17:26:27
[+] Persistence Layer | Running for 17:26:33.577045
[+] Profiling Service | Running for 17:26:34.105745
[+] Traffic Monitor | Running for 17:26:30.345145
[+] Upload Manager Service | Running for 17:26:31.514645
[+] Watch Dog | Running for 17:26:30
[+] Web Apps | Running for 17:26:30
System is UP! (medium)
重启设备
使用以下命令重启 OT 传感器设备。
| 用户 | 命令 | 完整命令语法 |
|---|---|---|
| admin | system reboot |
无属性 |
| cyberx_host或具有根访问权限的管理员 | sudo reboot |
无属性 |
例如,对于 管理员 用户:
shell> system reboot
关闭设备
使用以下命令关闭 OT 传感器设备。
| 用户 | 命令 | 完整命令语法 |
|---|---|---|
| admin | system shutdown |
无属性 |
| 具有根访问权限的cyberx_host或管理员 | sudo shutdown -r now |
无属性 |
例如,对于 管理员 用户:
shell> system shutdown
显示安装的软件版本
使用以下命令列出 OT 传感器上安装的 Defender for IoT 软件版本。
| 用户 | 命令 | 完整命令语法 |
|---|---|---|
| admin | system version |
无属性 |
| 具有根访问权限的 cyberx 或管理员 | cyberx-xsense-version |
无属性 |
例如,对于 管理员 用户:
shell> system version
Version: 22.2.5.9-r-2121448
显示当前系统日期/时间
使用以下命令以 GMT 格式显示 OT 网络传感器上的当前系统日期和时间。
| 用户 | 命令 | 完整命令语法 |
|---|---|---|
| admin | date |
无属性 |
| 具有根访问权限的 cyberx 或管理员 | date |
无属性 |
| cyberx_host或具有根访问权限的管理员 | date |
无属性 |
例如,对于 管理员 用户:
shell> date
Thu Sep 29 18:38:23 UTC 2022
shell>
启用 NTP 时间同步
使用以下命令启用设备与 NTP 服务器的时间同步。
若要使用这些命令,请确保:
- 可以从设备管理端口访问 NTP 服务器
- 使用同一 NTP 服务器来同步所有传感器设备和本地管理控制台
| 用户 | 命令 | 完整命令语法 |
|---|---|---|
| admin | ntp enable <IP address> |
无属性 |
| 具有根访问权限的 cyberx 或管理员 | cyberx-xsense-ntp-enable <IP address> |
无属性 |
在这些命令中,<IP address> 是使用端口 123 的有效 IPv4 NTP 服务器的 IP 地址。
例如,对于 管理员 用户:
shell> ntp enable 129.6.15.28
shell>
禁用 NTP 时间同步
使用以下命令禁用设备与 NTP 服务器的时间同步。
| 用户 | 命令 | 完整命令语法 |
|---|---|---|
| admin | ntp disable <IP address> |
无属性 |
| 具有根访问权限的 cyberx 或管理员 | cyberx-xsense-ntp-disable <IP address> |
无属性 |
在这些命令中,<IP address> 是使用端口 123 的有效 IPv4 NTP 服务器的 IP 地址。
例如,对于 管理员 用户:
shell> ntp disable 129.6.15.28
shell>
备份和还原
以下部分介绍支持备份和还原 OT 网络传感器系统快照的 CLI 命令。
备份文件包含传感器状态的完整快照,包括配置设置、基线值、清单数据和日志。
注意
请不要中断系统备份或还原操作,因为这可能会导致系统不可用。
立即开始计划外备份
使用以下命令启动 OT 传感器上数据的即时未计划备份。 有关详细信息,请参阅设置备份和还原文件。
注意
备份数据时,请确保不要停止或关闭设备。
| 用户 | 命令 | 完整命令语法 |
|---|---|---|
| admin | system backup create |
无属性 |
| 具有根访问权限的 cyberx 或管理员 | cyberx-xsense-system-backup |
无属性 |
例如,对于 管理员 用户:
shell> system backup create
Backing up DATA_KEY
...
...
Finished backup. Backup is stored at /var/cyberx/backups/e2e-xsense-1664469968212-backup-version-22.2.6.318-r-71e6295-2022-09-29_18:29:55.tar
Setting backup status 'SUCCESS' in redis
shell>
列出当前备份文件
使用以下命令列出当前存储在 OT 网络传感器上的备份文件。
| 用户 | 命令 | 完整命令语法 |
|---|---|---|
| admin | system backup list |
无属性 |
| 具有根访问权限的 cyberx 或管理员 | cyberx-xsense-system-backup-list |
无属性 |
例如,对于 管理员 用户:
shell> system backup list
backup files:
e2e-xsense-1664469968212-backup-version-22.3.0.318-r-71e6295-2022-09-29_18:30:20.tar
e2e-xsense-1664469968212-backup-version-22.3.0.318-r-71e6295-2022-09-29_18:29:55.tar
shell>
从最新备份还原数据
使用以下命令使用最新的备份文件还原 OT 网络传感器上的数据。 出现提示时,请确认要继续操作。
注意
还原数据时,请确保不要停止或关闭设备。
| 用户 | 命令 | 完整命令语法 |
|---|---|---|
| admin | system restore |
无属性 |
| 具有根访问权限的 cyberx 或管理员 | cyberx-xsense-system-restore |
-f <filename> |
例如,对于 管理员 用户:
shell> system restore
Waiting for redis to start...
Redis is up
Use backup file as "/var/cyberx/backups/e2e-xsense-1664469968212-backup-version-22.2.6.318-r-71e6295-2022-09-29_18:30:20.tar" ? [Y/n]: y
WARNING - the following procedure will restore data. do not stop or power off the server machine while this procedure is running. Are you sure you wish to proceed? [Y/n]: y
...
...
watchdog started
starting components
shell>
显示备份磁盘空间分配
以下命令列出当前备份磁盘空间分配,包括以下详细信息:
- 备份文件夹位置
- 备份文件夹大小
- 备份文件夹限制
- 上次备份操作时间
- 可用于备份的可用磁盘空间
| 用户 | 命令 | 完整命令语法 |
|---|---|---|
| admin | cyberx-backup-memory-check |
无属性 |
例如,对于 管理员 用户:
shell> cyberx-backup-memory-check
2.1M /var/cyberx/backups
Backup limit is: 20Gb
shell>
本地用户管理
更改本地用户密码
使用以下命令更改 OT 传感器上本地用户的密码。 新密码必须至少为 8 个字符,包含小写和大写、字母字符、数字和符号。
更改管理员的密码时,SSH 和 Web 访问的密码将更改。
| 用户 | 命令 | 完整命令语法 |
|---|---|---|
| admin | system password |
<username> |
以下示例显示 管理员 用户更改密码。 键入新密码时不会在屏幕上显示,请确保写入以记下它,并确保在要求重新输入密码时正确键入密码。
shell>system password user1
Enter New Password for user1:
Reenter Password:
shell>
网络配置
更改网络配置或重新分配网络接口角色
使用以下命令重新运行 OT 监视软件配置向导,以帮助定义或重新配置以下 OT 传感器设置:
- 启用/禁用 SPAN 监视接口
- 为管理接口配置网络设置(IP、子网、默认网关、DNS)
- 分配备份目录
| 用户 | 命令 | 完整命令语法 |
|---|---|---|
| admin | sudo dpkg-reconfigure iot-sensor |
无属性 |
例如,使用 管理员 用户:
shell> sudo dpkg-reconfigure iot-sensor
运行此命令后,配置向导会自动启动。 有关详细信息,请参阅安装 OT 监视软件。
验证并显示网络接口配置
使用以下命令验证并显示 OT 传感器上的当前网络接口配置。
| 用户 | 命令 | 完整命令语法 |
|---|---|---|
| admin | network validate |
无属性 |
例如,对于 管理员 用户:
shell> network validate
Success! (Appliance configuration matches the network settings)
Current Network Settings:
interface: eth0
ip: 172.20.248.69
subnet: 255.255.192.0
default gateway: 10.1.0.1
dns: 168.63.129.16
monitor interfaces mapping: local_listener=adiot0
shell>
从 OT 传感器检查网络连接
使用以下命令从 OT 传感器发送 ping 消息。
| 用户 | 命令 | 完整命令语法 |
|---|---|---|
| admin | ping <IP address> |
无属性 |
| 具有根访问权限的 cyberx 或管理员 | ping <IP address> |
无属性 |
在这些命令中,<IP address> 是可从 OT 传感器上的管理端口访问的有效 IPv4 网络主机的 IP 地址。
通过闪烁接口指示灯查找物理端口
使用以下命令通过使接口指示灯闪烁来查找特定的物理接口。
| 用户 | 命令 | 完整命令语法 |
|---|---|---|
| admin | network blink <INT> |
无属性 |
在此命令中,<INT> 是设备上的物理以太网端口。
以下示例显示 管理员 用户闪烁 eth0 界面:
shell> network blink eth0
Blinking interface for 20 seconds ...
列出连接的物理接口
使用以下命令列出 OT 传感器上连接的物理接口。
| 用户 | 命令 | 完整命令语法 |
|---|---|---|
| admin | network list |
无属性 |
| 具有根访问权限的 cyberx 或管理员 | ifconfig |
无属性 |
例如,对于 管理员 用户:
shell> network list
adiot0: flags=4419<UP,BROADCAST,RUNNING,PROMISC,MULTICAST> mtu 4096
ether be:b1:01:1f:91:88 txqueuelen 1000 (Ethernet)
RX packets 2589575 bytes 740011013 (740.0 MB)
RX errors 0 dropped 0 overruns 0 frame 0
TX packets 1 bytes 90 (90.0 B)
TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0
eth0: flags=4163<UP,BROADCAST,RUNNING,MULTICAST> mtu 1500
inet 172.18.0.2 netmask 255.255.0.0 broadcast 172.18.255.255
ether 02:42:ac:12:00:02 txqueuelen 0 (Ethernet)
RX packets 22419372 bytes 5757035946 (5.7 GB)
RX errors 0 dropped 0 overruns 0 frame 0
TX packets 23078301 bytes 2544599581 (2.5 GB)
TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0
lo: flags=73<UP,LOOPBACK,RUNNING> mtu 65536
inet 127.0.0.1 netmask 255.0.0.0
loop txqueuelen 1000 (Local Loopback)
RX packets 837196 bytes 259542408 (259.5 MB)
RX errors 0 dropped 0 overruns 0 frame 0
TX packets 837196 bytes 259542408 (259.5 MB)
TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0
shell>
流量捕获筛选器
为了减少警报疲劳并将网络监视重点放在高优先级流量上,你可以在源上筛选流入 Defender for IoT 的流量。 使用捕获筛选器可以在硬件层阻止高带宽流量,从而优化设备性能和资源的使用。
使用包含和/或排除列表在 OT 网络传感器上创建和配置捕获筛选器,确保不会阻止任何要监视的流量。
捕获筛选器的基本用例对所有 Defender for IoT 组件使用相同的筛选器。 但是,对于高级用例,可为以下每个 Defender for IoT 组件单独配置筛选器:
horizon:捕获深度数据包检查 (DPI) 数据collector:捕获 PCAP 数据traffic-monitor:捕获通信统计信息
注意
捕获筛选器不适用于 Defender for IoT 恶意软件警报,这些警报是针对检测的所有网络流量触发的。
捕获筛选器命令的字符长度限制基于捕获筛选器定义的复杂性和可用的网络接口卡功能。 如果请求的筛选器命令失败,请尝试使用较短的捕获筛选器命令将子网分组到更大的范围。
为所有组件创建基本筛选器
用于配置基本捕获筛选器的方法根据执行命令的用户而异:
- cyberx 用户:结合特定的属性运行指定的命令以配置捕获筛选器。
- 管理员 用户:运行指定的命令,然后根据 CLI 的提示输入值,编辑 nano 编辑器中的包含和排除列表。
使用以下命令创建新的捕获筛选器:
cyberx 用户支持的属性定义如下:
| 属性 | 说明 |
|---|---|
-h, --help |
显示帮助消息并退出。 |
-i <INCLUDE>, --include <INCLUDE> |
包含你要包括的设备和子网掩码的文件的路径,其中 <INCLUDE> 是文件的路径。 例如,请参阅示例包含或排除文件。 |
-x EXCLUDE, --exclude EXCLUDE |
包含你要排除的设备和子网掩码的文件的路径,其中 <EXCLUDE> 是文件的路径。 例如,请参阅示例包含或排除文件。 |
- -etp <EXCLUDE_TCP_PORT>, --exclude-tcp-port <EXCLUDE_TCP_PORT> |
排除任何指定端口上的 TCP 流量,其中 <EXCLUDE_TCP_PORT> 定义你要排除的一个或多个端口。 用逗号分隔多个端口(不包含空格)。 |
-eup <EXCLUDE_UDP_PORT>, --exclude-udp-port <EXCLUDE_UDP_PORT> |
排除任何指定端口上的 UDP 流量,其中 <EXCLUDE_UDP_PORT> 定义你要排除的一个或多个端口。 用逗号分隔多个端口(不包含空格)。 |
-itp <INCLUDE_TCP_PORT>, --include-tcp-port <INCLUDE_TCP_PORT> |
包含任何指定端口上的 TCP 流量,其中 <INCLUDE_TCP_PORT> 定义你要包含的一个或多个端口。 用逗号分隔多个端口(不包含空格)。 |
-iup <INCLUDE_UDP_PORT>, --include-udp-port <INCLUDE_UDP_PORT> |
包含任何指定端口上的 UDP 流量,其中 <INCLUDE_UDP_PORT> 定义你要包含的一个或多个端口。 用逗号分隔多个端口(不包含空格)。 |
-vlan <INCLUDE_VLAN_IDS>, --include-vlan-ids <INCLUDE_VLAN_IDS> |
按照指定的 VLAN ID 包含 VLAN 流量,<INCLUDE_VLAN_IDS> 定义你要包含的 VLAN ID。 用逗号分隔多个 VLAN ID(不包含空格)。 |
-p <PROGRAM>, --program <PROGRAM> |
定义要为其配置捕获筛选器的组件。 将 all 用于基本用例,为所有组件创建单个捕获筛选器。 对于高级用例,请为每个组件单独创建捕获筛选器。 有关详细信息,请参阅为特定组件创建高级筛选器。 |
-m <MODE>, --mode <MODE> |
定义包含列表模式;仅当使用包含列表时才相关。 使用以下值之一: - internal:包括指定源和目标之间的所有通信 - all-connected:包括任一指定终结点与外部终结点之间的所有通信。 例如,对于终结点 A 和 B,如果使用 internal 模式,则包含的流量仅包括终结点 A 和 B 之间的通信。但是,如果使用 all-connected 模式,则包含的流量包括 A 或 B 与其他外部终结点之间的所有通信。 |
例如,包含或排除 .txt 文件可能包含以下条目:
192.168.50.10
172.20.248.1
使用管理员用户创建基本捕获筛选器
如果要创建作为管理员用户的基本捕获筛选器,则原始命令中不会传递任何属性。 而是显示一系列提示,以帮助你以交互方式创建捕获筛选器。
回复如下所示的提示:
Would you like to supply devices and subnet masks you wish to include in the capture filter? [Y/N]:选择
Y打开一个新的 include 文件,可在其中添加要包含在受监视流量中的设备、通道和/或子网。 未在该 include 文件中列出的任何其他流量不会引入 Defender for IoT。在 Nano 文本编辑器中打开该 include 文件。 在 include 文件中,如下所示定义设备、通道和子网:
类型 说明 示例 设备 按设备的 IP 地址定义设备。 1.1.1.1包含此设备的所有流量。Channel 按通道的源和目标设备的 IP 地址定义通道,用逗号分隔。 1.1.1.1,2.2.2.2包含此通道的所有流量。子网 按子网的网络地址定义子网。 1.1.1包含此子网的所有流量。在单独的行中列出多个参数。
Would you like to supply devices and subnet masks you wish to exclude from the capture filter? [Y/N]:选择
Y打开一个新的 exclude 文件,可在其中添加要从受监视流量中排除的设备、通道和/或子网。 未在该 exclude 文件中列出的任何其他流量将引入 Defender for IoT。在 Nano 文本编辑器中打开该 exclude 文件。 在 exclude 文件中,如下所示定义设备、通道和子网:
类型 说明 示例 设备 按设备的 IP 地址定义设备。 1.1.1.1排除此设备的所有流量。Channel 按通道的源和目标设备的 IP 地址定义通道,用逗号分隔。 1.1.1.1,2.2.2.2排除这些设备之间的所有流量。按端口列出的通道 按通道的源和目标设备的 IP 地址以及流量端口定义通道。 1.1.1.1,2.2.2.2,443排除这些设备之间使用指定端口的所有流量。子网 按子网的网络地址定义子网。 1.1.1排除此子网的所有流量。子网通道 定义源和目标子网的子网通道网络地址。 1.1.1,2.2.2排除这些子网之间的所有流量。在单独的行中列出多个参数。
回复以下提示,以定义要包含或排除的任何 TCP 或 UDP 端口。 用逗号分隔多个端口,然后按 ENTER 跳过任何特定提示。
Enter tcp ports to include (delimited by comma or Enter to skip):Enter udp ports to include (delimited by comma or Enter to skip):Enter tcp ports to exclude (delimited by comma or Enter to skip):Enter udp ports to exclude (delimited by comma or Enter to skip):Enter VLAN ids to include (delimited by comma or Enter to skip):
例如,如下所示输入多个端口:
502,443In which component do you wish to apply this capture filter?为基本捕获筛选器输入
all。 对于高级用例,请单独为每个 Defender for IoT 组件创建捕获筛选器。Type Y for "internal" otherwise N for "all-connected" (custom operation mode enabled) [Y/N]:遵循此提示可以配置哪些流量在范围内。 定义是要收集两个终结点都在范围内的流量,还是只收集其中一个终结点位于指定子网中的流量。 支持的值包括:
internal:包括指定源和目标之间的所有通信all-connected:包括任一指定终结点与外部终结点之间的所有通信。
例如,对于终结点 A 和 B,如果使用
internal模式,则包含的流量仅包括终结点 A 和 B 之间的通信。
但是,如果使用all-connected模式,则包含的流量包括 A 或 B 与其他外部终结点之间的所有通信。默认模式为
internal。 若要使用all-connected模式,请在提示中选择Y,然后输入all-connected。
以下示例显示了一系列提示,这些提示创建捕获筛选器以排除子网 192.168.x.x 和端口 9000:
root@xsense: network capture-filter
Would you like to supply devices and subnet masks you wish to include in the capture filter? [y/N]: n
Would you like to supply devices and subnet masks you wish to exclude from the capture filter? [y/N]: y
You've exited the editor. Would you like to apply your modifications? [y/N]: y
Enter tcp ports to include (delimited by comma or Enter to skip):
Enter udp ports to include (delimited by comma or Enter to skip):
Enter tcp ports to exclude (delimited by comma or Enter to skip):9000
Enter udp ports to exclude (delimited by comma or Enter to skip):9000
Enter VLAN ids to include (delimited by comma or Enter to skip):
In which component do you wish to apply this capture filter?all
Would you like to supply a custom base capture filter for the collector component? [y/N]: n
Would you like to supply a custom base capture filter for the traffic_monitor component? [y/N]: n
Would you like to supply a custom base capture filter for the horizon component? [y/N]: n
type Y for "internal" otherwise N for "all-connected" (custom operation mode enabled) [Y/n]: internal
Please respond with 'yes' or 'no' (or 'y' or 'n').
type Y for "internal" otherwise N for "all-connected" (custom operation mode enabled) [Y/n]: y
starting "/usr/local/bin/cyberx-xsense-capture-filter --exclude /var/cyberx/media/capture-filter/exclude --exclude-tcp-port 9000 --exclude-udp-port 9000 --program all --mode internal --from-shell"
No include file given
Loaded 1 unique channels
(000) ret #262144
(000) ldh [12]
......
......
......
debug: set new filter for horizon '(((not (net 192.168))) and (not (tcp port 9000)) and (not (udp port 9000))) or (vlan and ((not (net 192.168))) and (not (tcp port 9000)) and (not (udp port 9000)))'
root@xsense:
为特定组件创建高级筛选器
为特定组件配置高级捕获筛选器时,可以使用初始 include 和 exclude 文件作为基础或模板捕获筛选器。 然后,根据需要在基础筛选器之上为每个组件配置附加筛选器。
若要为每个组件创建捕获筛选器,请确保对每个组件重复整个过程。
注意
如果已为不同的组件创建了不同的捕获筛选器,则模式选择将用于所有组件。 不支持将一个组件的捕获筛选器定义为 internal,并将另一个组件的捕获筛选器定义为 all-connected。
以下附加属性供 cyberx 用户用来为每个组件单独创建捕获筛选器:
| 属性 | 说明 |
|---|---|
-p <PROGRAM>, --program <PROGRAM> |
定义要为其配置捕获筛选器的组件,其中 <PROGRAM> 支持的值如下:- traffic-monitor - collector - horizon - all:为所有组件创建单个捕获筛选器。 有关详细信息,请参阅为所有组件创建基本筛选器。 |
-o <BASE_HORIZON>, --base-horizon <BASE_HORIZON> |
为 horizon 组件定义基本捕获筛选器,其中 <BASE_HORIZON> 是要使用的筛选器。 默认值 = "" |
-s BASE_TRAFFIC_MONITOR, --base-traffic-monitor BASE_TRAFFIC_MONITOR |
为 traffic-monitor 组件定义基础捕获筛选器。 默认值 = "" |
-c BASE_COLLECTOR, --base-collector BASE_COLLECTOR |
为 collector 组件定义基础捕获筛选器。 默认值 = "" |
其他属性值的说明与前面所述的基本用例相同。
使用管理员用户创建高级捕获筛选器
如果要单独为每个组件创建捕获筛选器作为管理员用户,则原始命令中不会传递任何属性。 而是显示一系列提示,以帮助你以交互方式创建捕获筛选器。
大多数提示与基本用例相同。 如下所示回复以下附加提示:
In which component do you wish to apply this capture filter?根据要筛选的组件输入以下值之一:
horizontraffic-monitorcollector
系统会提示你为所选组件配置自定义基础捕获筛选器。 此选项使用在前面步骤中配置的捕获筛选器作为基础或模板,在该模板中可在基础筛选器之上添加附加配置。
例如,如果你在上一步骤中选择为
collector组件配置捕获筛选器,则会出现提示:Would you like to supply a custom base capture filter for the collector component? [Y/N]:输入
Y以自定义指定的组件的模板,或输入N以按原样使用先前配置的捕获筛选器。
与在基本用例中一样继续处理剩余的提示。
列出特定组件的当前捕获筛选器
使用以下命令显示有关为传感器配置的当前捕获筛选器的详细信息。
这些命令打开以下文件,其中列出了为每个组件配置的捕获筛选器:
| 名称 | 文件 | 属性 |
|---|---|---|
| 范围 | /var/cyberx/properties/horizon.properties |
horizon.processor.filter |
| traffic-monitor | /var/cyberx/properties/traffic-monitor.properties |
horizon.processor.filter |
| 收集器 | /var/cyberx/properties/dumpark.properties |
dumpark.network.filter |
例如,对于 管理员 用户,为排除子网 192.168.x.x 和端口 9000 的 收集器 组件定义的捕获筛选器:
root@xsense: edit-config dumpark.properties
GNU nano 2.9.3 /tmp/tmpevt4igo7/tmpevt4igo7
dumpark.network.filter=(((not (net 192.168))) and (not (tcp port 9000)) and (not
dumpark.network.snaplen=4096
dumpark.packet.filter.data.transfer=false
dumpark.infinite=true
dumpark.output.session=false
dumpark.output.single=false
dumpark.output.raw=true
dumpark.output.rotate=true
dumpark.output.rotate.history=300
dumpark.output.size=20M
dumpark.output.time=30S
重置所有捕获筛选器
以 cyberx 用户身份使用以下命令,以将传感器重置为默认捕获配置并删除所有捕获筛选器。
| 用户 | 命令 | 完整命令语法 |
|---|---|---|
| 具有根访问权限的 cyberx 或管理员 | cyberx-xsense-capture-filter -p all -m all-connected |
无属性 |
如果要修改现有的捕获筛选器,请使用新的属性值再次运行前面的命令。
若要使用 管理员 用户重置所有捕获筛选器,请再次运行 前面的 命令,并响应 N 所有 提示 以重置所有捕获筛选器。
以下示例显示适用于 cyberx 用户的命令语法和响应:
root@xsense:/# cyberx-xsense-capture-filter -p all -m all-connected
starting "/usr/local/bin/cyberx-xsense-capture-filter -p all -m all-connected"
No include file given
No exclude file given
(000) ret #262144
(000) ret #262144
debug: set new filter for dumpark ''
No include file given
No exclude file given
(000) ret #262144
(000) ret #262144
debug: set new filter for traffic-monitor ''
No include file given
No exclude file given
(000) ret #262144
(000) ret #262144
debug: set new filter for horizon ''
root@xsense:/#