你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
Defender for IoT CLI 用户和访问权限
本文介绍 Microsoft Defender for IoT 命令行接口 (CLI)。 CLI 是基于文本的用户界面,可用于访问 OT 传感器以及本地管理控制台,以进行高级配置、故障排除和支持。
若要访问 Defender for IoT CLI,需要有权访问传感器或本地管理控制台。
- 对于 OT 传感器或本地管理控制台,需要以特权用户的身份登录。
- 对于企业 IoT 传感器,可以任何用户的身份登录。
注意
客户配置仅支持 OT 网络传感器和本地管理控制台上记录的配置参数。 不要更改任何未记录的配置参数或系统属性,因为更改可能会导致意外行为和系统故障。
未经 Microsoft 批准从传感器中移除包可能会导致意外结果。 传感器上安装的所有包都是正确的传感器功能所必需的。
用于 OT 监视的特权用户访问权限
使用 Defender for IoT CLI 时,请使用 admin 用户,这是有权访问所有 CLI 命令的管理帐户。 在本地管理控制台,使用支持或网络用户。
如果使用的是旧版软件,则可能具有以下一个或多个用户:
| 旧方案 | 说明 |
|---|---|
| 23.2.0 之前的传感器版本 | 在低于 23.2.0 的传感器版本中,默认的 admin 用户命名为 support。 旧版 support 用户仅在低于 23.2.0 的版本上受支持。 文档使用 admin 用户以与最新版本的软件相符。 |
| 低于 23.1.x 的传感器软件版本 | 在低于 23.1.x 的传感器软件版本中,也使用 cyberx和 cyberx_host 特权用户。 在新安装的版本 23.1.x 及更高版本中,cyberx 和 cyberx_host 用户可用,但默认情况下未启用。 若要使这些额外的特权用户能够使用 Defender for IoT CLI,请更改其密码。 有关详细信息,请参阅恢复对传感器的特权访问。 |
无法添加其他 CLI 用户。
有关详细信息,请参阅使用 Defender for IoT 进行 OT 监视的本地用户和角色。
CLI 操作支持的用户
下表列出了 CLI 可用的活动以及每个活动支持的特权用户。 cyberx 和 cyberx_host 用户仅在 23.1.x 之前的版本中受支持。
设备维护命令
| 服务领域 | 用户 | 操作 |
|---|---|---|
| 传感器运行状况 | admin、cyberx | 检查 OT 监视服务运行状况 |
| 重启和关闭 | admin、cyberx、cyberx_host | 重启设备 关闭设备 |
| 软件版本 | admin、cyberx | 显示安装的软件版本 更新软件版本 |
| 日期和时间 | admin、cyberx、cyberx_host | 显示当前系统日期/时间 |
| NTP | admin、cyberx | 启用 NTP 时间同步 禁用 NTP 时间同步 |
备份和还原命令
| 服务领域 | 用户 | 操作 |
|---|---|---|
| 备份文件 | admin、cyberx | 列出当前备份文件 立即开始计划外备份 |
| 还原 | admin、cyberx | 从最新备份还原数据 |
| 备份磁盘空间 | cyberx | 显示备份磁盘空间分配 |
TLS/SSL 证书命令
| 服务领域 | 用户 | 操作 |
|---|---|---|
| 证书管理 | cyberx | 将 TLS/SSL 证书导入 OT 传感器 还原默认的自签名证书 |
本地用户管理命令
| 服务领域 | 用户 | 操作 |
|---|---|---|
| 密码管理 | cyberx、cyberx_host | 更改本地用户密码 |
| 登录配置 | admin、cyberx、cyberx_host | 控制用户会话超时 |
| 登录配置 | cyberx | 定义失败登录的最大次数 |
网络配置命令
| 服务领域 | 用户 | 操作 |
|---|---|---|
| 网络设置配置 | cyberx_host | 更改网络配置或重新分配网络接口角色 |
| 网络设置配置 | admin | 验证并显示网络接口配置 |
| 网络连接 | admin、cyberx | 从 OT 传感器检查网络连接 |
| 网络连接 | cyberx | 检查网络接口的当前负载 检查 Internet 连接 |
| 网络带宽限制 | cyberx | 设置管理网络接口的带宽限制 |
| 物理接口管理 | admin | 通过闪烁接口指示灯查找物理端口 |
| 物理接口管理 | admin、cyberx | 列出连接的物理接口 |
流量捕获筛选器命令
| 服务领域 | 用户 | 操作 |
|---|---|---|
| 捕获筛选器管理 | admin、cyberx | 为所有组件创建基本筛选器 为特定组件创建高级筛选器 列出特定组件的当前捕获筛选器 重置所有捕获筛选器 |
警报命令
| 服务领域 | 用户 | 操作 |
|---|---|---|
| 警报功能测试 | cyberx | 触发测试警报 |
| 警报排除规则 | admin、cyberx | 显示当前警报排除规则 创建新的警报排除规则 修改警报排除规则 删除警报排除规则 |
Defender for IoT CLI 访问
若要访问 Defender for IoT CLI,请使用终端仿真器和 SSH 登录到 OT 或企业 IoT 传感器或者本地管理控制台。
- 在 Windows 系统上,使用 PuTTY 或其他类似的应用程序。
- 在 Mac 系统上,使用终端。
- 在虚拟设备上,通过 SSH、vSphere 客户端或 Hyper-V 管理器访问 CLI。 通过端口 22 连接到虚拟设备的管理接口 IP 地址。
OT 网络传感器或本地管理控制台上的每个 CLI 命令都支持一组不同的特权用户,如相关 CLI 说明中所述。 请确保以要运行的命令所需的用户身份登录。 有关详细信息,请参阅用于 OT 监视的特权用户访问权限。
以 admin 用户身份访问系统根
以 admin 用户身份登录时,运行以下命令以根用户身份访问主机。 以根用户身份访问主机时,你能够运行对 admin 用户不可用的 CLI 命令。
运行:
system shell
低于 23.2.0 的 OT 传感器版本包括 support 特权用户,而不是 admin 用户。 如果使用旧版传感器软件,则旧版 support 用户也支持列为对 admin 用户支持的任何命令。
退出登录 CLI
用完 CLI 后,请确保正确退出登录 CLI。 你会在处于非活动状态 300 秒后自动退出登录。
若要在 OT 传感器或本地管理控制台上手动退出登录,请运行以下命令之一:
| 用户 | 命令 |
|---|---|
| admin | logout |
| cyberx | cyberx-xsense-logout |
| cyberx_host | logout |
后续步骤
还可以从 Defender for IoT“站点和传感器”页控制和监视连接到云的传感器。 有关详细信息,请参阅在 Azure 门户中使用 Defender for IoT 管理传感器。