OT 網路感測器的 CLI 命令參考
本文列出適用於IoT OT網路感測器的Defender提供的CLI命令。
警告
客戶設定僅支援 OT 網路感應器和內部部署管理主控台上已記載的設定參數。 請勿變更任何未記載的設定參數或系統屬性,因為變更可能會導致非預期的行為和系統失敗。
在未經 Microsoft 核准的情況下,從感應器中移除套件可能會導致非預期的結果。 安裝於感應器上的所有套件都必須有正確的感應器功能。
必要條件
您必須先以特殊許可權使用者身分存取 OT 網路感測器上的 CLI,才能執行下列任何 CLI 命令。
雖然本文列出每個使用者的命令語法,但建議針對支持系統管理員使用者的所有 CLI 命令使用系統管理員使用者。
如需詳細資訊,請參閱 存取 CLI 和 特殊許可權使用者存取以進行 OT 監視。
設備維護
檢查 OT 監視服務健康狀態
使用下列命令來確認 OT 感測器上的適用於 IoT 的 Defender 應用程式正常運作,包括 Web 控制台和流量分析程式。
OT 感測器主控台也提供健康情況檢查。 如需詳細資訊,請參閱針對感應器進行疑難排解。
| User | Command | 完整命令語法 |
|---|---|---|
| admin | system sanity |
沒有屬性 |
| 網路x 或具有根存取權的系統管理員 | cyberx-xsense-sanity |
沒有屬性 |
下列範例顯示系統管理員使用者的命令語法和回應:
shell> system sanity
[+] C-Cabra Engine | Running for 17:26:30.191945
[+] Cache Layer | Running for 17:26:32.352745
[+] Core API | Running for 17:26:28
[+] Health Monitor | Running for 17:26:28
[+] Horizon Agent 1 | Running for 17:26:27
[+] Horizon Parser | Running for 17:26:30.183145
[+] Network Processor | Running for 17:26:27
[+] Persistence Layer | Running for 17:26:33.577045
[+] Profiling Service | Running for 17:26:34.105745
[+] Traffic Monitor | Running for 17:26:30.345145
[+] Upload Manager Service | Running for 17:26:31.514645
[+] Watch Dog | Running for 17:26:30
[+] Web Apps | Running for 17:26:30
System is UP! (medium)
重新啟動設備
使用下列命令重新啟動 OT 感測器設備。
| User | Command | 完整命令語法 |
|---|---|---|
| admin | system reboot |
沒有屬性 |
| cyberx_host 或具有根存取權的系統管理員 | sudo reboot |
沒有屬性 |
例如,針對 系統管理員 使用者:
shell> system reboot
關閉裝置
使用下列命令來關閉 OT 感測器設備。
| User | Command | 完整命令語法 |
|---|---|---|
| admin | system shutdown |
沒有屬性 |
| cyberx_host或具有根存取權的系統管理員 | sudo shutdown -r now |
沒有屬性 |
例如,針對 系統管理員 使用者:
shell> system shutdown
顯示安裝的軟體版本
使用下列命令來列出安裝在 OT 感測器上的適用於 IoT 的 Defender 軟體版本。
| User | Command | 完整命令語法 |
|---|---|---|
| admin | system version |
沒有屬性 |
| 網路x 或具有根存取權的系統管理員 | cyberx-xsense-version |
沒有屬性 |
例如,針對 系統管理員 使用者:
shell> system version
Version: 22.2.5.9-r-2121448
顯示目前的系統日期/時間
使用下列命令,以 GMT 格式顯示 OT 網路感測器上的目前系統日期和時間。
| User | Command | 完整命令語法 |
|---|---|---|
| admin | date |
沒有屬性 |
| 網路x 或具有根存取權的系統管理員 | date |
沒有屬性 |
| cyberx_host 或具有根存取權的系統管理員 | date |
沒有屬性 |
例如,針對 系統管理員 使用者:
shell> date
Thu Sep 29 18:38:23 UTC 2022
shell>
開啟 NTP 時間同步處理
使用下列命令,以使用NTP伺服器開啟設備時間的同步處理。
若要使用這些命令,請確定:
- 您可以從設備管理埠連線到 NTP 伺服器
- 您可以使用相同的 NTP 伺服器來同步處理所有感測器設備與內部部署管理主控台
| User | Command | 完整命令語法 |
|---|---|---|
| admin | ntp enable <IP address> |
沒有屬性 |
| 網路x 或具有根存取權的系統管理員 | cyberx-xsense-ntp-enable <IP address> |
沒有屬性 |
在這些命令中, <IP address> 是使用埠 123 的有效 IPv4 NTP 伺服器的 IP 位址。
例如,針對 系統管理員 使用者:
shell> ntp enable 129.6.15.28
shell>
關閉 NTP 時間同步處理
使用下列命令來關閉設備時間與 NTP 伺服器的同步處理。
| User | Command | 完整命令語法 |
|---|---|---|
| admin | ntp disable <IP address> |
沒有屬性 |
| 網路x 或具有根存取權的系統管理員 | cyberx-xsense-ntp-disable <IP address> |
沒有屬性 |
在這些命令中, <IP address> 是使用埠 123 的有效 IPv4 NTP 伺服器的 IP 位址。
例如,針對 系統管理員 使用者:
shell> ntp disable 129.6.15.28
shell>
備份和還原
下列各節說明支援備份和還原 OT 網路感測器系統快照集的 CLI 命令。
備份檔包含感測器狀態的完整快照集,包括組態設定、基準值、清查數據和記錄。
警告
請勿中斷系統備份或還原作業,因為這可能會使系統變成無法使用。
開啟立即、未排程的備份
使用下列命令來啟動 OT 感測器上數據的立即未排程備份。 如需詳細資訊,請參閱設定備份與還原檔案。
警告
備份數據時,請務必不要停止或關閉設備電源。
| User | Command | 完整命令語法 |
|---|---|---|
| admin | system backup create |
沒有屬性 |
| 網路x 或具有根存取權的系統管理員 | cyberx-xsense-system-backup |
沒有屬性 |
例如,針對 系統管理員 使用者:
shell> system backup create
Backing up DATA_KEY
...
...
Finished backup. Backup is stored at /var/cyberx/backups/e2e-xsense-1664469968212-backup-version-22.2.6.318-r-71e6295-2022-09-29_18:29:55.tar
Setting backup status 'SUCCESS' in redis
shell>
列出目前的備份檔案
使用下列命令來列出目前儲存在 OT 網路感測器上的備份檔。
| User | Command | 完整命令語法 |
|---|---|---|
| admin | system backup list |
沒有屬性 |
| 網路x 或具有根存取權的系統管理員 | cyberx-xsense-system-backup-list |
沒有屬性 |
例如,針對 系統管理員 使用者:
shell> system backup list
backup files:
e2e-xsense-1664469968212-backup-version-22.3.0.318-r-71e6295-2022-09-29_18:30:20.tar
e2e-xsense-1664469968212-backup-version-22.3.0.318-r-71e6295-2022-09-29_18:29:55.tar
shell>
從最新備份還原資料
使用下列命令,使用最新的備份檔還原 OT 網路感測器上的數據。 出現提示時,請確認您想要繼續。
警告
在還原數據時,請務必不要停止或關閉設備。
| User | Command | 完整命令語法 |
|---|---|---|
| admin | system restore |
沒有屬性 |
| 網路x 或具有根存取權的系統管理員 | cyberx-xsense-system-restore |
-f <filename> |
例如,針對 系統管理員 使用者:
shell> system restore
Waiting for redis to start...
Redis is up
Use backup file as "/var/cyberx/backups/e2e-xsense-1664469968212-backup-version-22.2.6.318-r-71e6295-2022-09-29_18:30:20.tar" ? [Y/n]: y
WARNING - the following procedure will restore data. do not stop or power off the server machine while this procedure is running. Are you sure you wish to proceed? [Y/n]: y
...
...
watchdog started
starting components
shell>
顯示備份磁碟空間配置
下列命令會列出目前的備份磁碟空間配置,包括下列詳細數據:
- 備份資料夾位置
- 備份資料夾大小
- 備份資料夾限制
- 上次備份作業時間
- 備份可用的可用磁碟空間
| User | Command | 完整命令語法 |
|---|---|---|
| admin | cyberx-backup-memory-check |
沒有屬性 |
例如,針對 系統管理員 使用者:
shell> cyberx-backup-memory-check
2.1M /var/cyberx/backups
Backup limit is: 20Gb
shell>
本機使用者管理
變更本地使用者密碼
使用下列命令來變更 OT 感測器上本機用戶的密碼。 新密碼必須至少有 8 個字元,包含小寫和大寫、字母字元、數位和符號。
當您變更系統管理員的密碼時,SSH 和 Web 存取的密碼都會變更。
| User | Command | 完整命令語法 |
|---|---|---|
| admin | system password |
<username> |
下列範例顯示 系統管理員 用戶的變更密碼。 當您輸入新密碼時,新密碼不會出現在螢幕上,請務必寫入以記下密碼,並確定在要求重新輸入密碼時已正確輸入密碼。
shell>system password user1
Enter New Password for user1:
Reenter Password:
shell>
網路組態
變更網路設定或重新指派網路介面角色
使用下列命令重新執行OT監視軟體組態精靈,以協助您定義或重新設定下列OT感測器設定:
- 啟用/停用SPAN監視介面
- 設定管理介面的網路設定(IP、子網、預設閘道、DNS)
- 指派備份目錄
| User | Command | 完整命令語法 |
|---|---|---|
| admin | sudo dpkg-reconfigure iot-sensor |
沒有屬性 |
例如,使用 系統管理員 使用者:
shell> sudo dpkg-reconfigure iot-sensor
執行此命令之後,組態精靈會自動啟動。 如需詳細資訊,請參閱安裝 OT 監視軟體。
驗證和顯示 eth0 VM 網路介面設定
使用下列命令來驗證並顯示 OT 感測器上的目前網路介面組態。
| User | Command | 完整命令語法 |
|---|---|---|
| admin | network validate |
沒有屬性 |
例如,針對 系統管理員 使用者:
shell> network validate
Success! (Appliance configuration matches the network settings)
Current Network Settings:
interface: eth0
ip: 172.20.248.69
subnet: 255.255.192.0
default gateway: 10.1.0.1
dns: 168.63.129.16
monitor interfaces mapping: local_listener=adiot0
shell>
檢查 OT 感應器的網路連線能力
使用下列命令從 OT 感測器傳送 Ping 訊息。
| User | Command | 完整命令語法 |
|---|---|---|
| admin | ping <IP address> |
沒有屬性 |
| 網路x 或具有根存取權的系統管理員 | ping <IP address> |
沒有屬性 |
在這些命令中, <IP address> 是可從 OT 感測器上管理埠存取之有效 IPv4 網路主機的 IP 位址。
透過閃爍介面燈找出實體連接埠
使用下列命令來找出特定的實體介面,方法是讓介面燈閃爍。
| User | Command | 完整命令語法 |
|---|---|---|
| admin | network blink <INT> |
沒有屬性 |
在此命令中, <INT> 是設備上的實體乙太網路埠。
下列範例顯示 系統管理員 用戶閃爍 eth0 介面:
shell> network blink eth0
Blinking interface for 20 seconds ...
列出連線的實體介面
使用下列命令來列出 OT 感測器上連接的實體介面。
| User | Command | 完整命令語法 |
|---|---|---|
| admin | network list |
沒有屬性 |
| 網路x 或具有根存取權的系統管理員 | ifconfig |
沒有屬性 |
例如,針對 系統管理員 使用者:
shell> network list
adiot0: flags=4419<UP,BROADCAST,RUNNING,PROMISC,MULTICAST> mtu 4096
ether be:b1:01:1f:91:88 txqueuelen 1000 (Ethernet)
RX packets 2589575 bytes 740011013 (740.0 MB)
RX errors 0 dropped 0 overruns 0 frame 0
TX packets 1 bytes 90 (90.0 B)
TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0
eth0: flags=4163<UP,BROADCAST,RUNNING,MULTICAST> mtu 1500
inet 172.18.0.2 netmask 255.255.0.0 broadcast 172.18.255.255
ether 02:42:ac:12:00:02 txqueuelen 0 (Ethernet)
RX packets 22419372 bytes 5757035946 (5.7 GB)
RX errors 0 dropped 0 overruns 0 frame 0
TX packets 23078301 bytes 2544599581 (2.5 GB)
TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0
lo: flags=73<UP,LOOPBACK,RUNNING> mtu 65536
inet 127.0.0.1 netmask 255.0.0.0
loop txqueuelen 1000 (Local Loopback)
RX packets 837196 bytes 259542408 (259.5 MB)
RX errors 0 dropped 0 overruns 0 frame 0
TX packets 837196 bytes 259542408 (259.5 MB)
TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0
shell>
流量擷取篩選
若要降低警示疲勞,並將網路監視聚焦在高優先順序的流量上,您可以決定篩選串流至來源適用於 IoT 的 Defender 的流量。 擷取篩選器可讓您封鎖硬體層的高頻寬流量,以優化設備效能和資源使用量。
使用 包含/或排除清單,在 OT 網路感測器上建立和設定擷取篩選器,確定您不會封鎖您想要監視的任何流量。
擷取篩選的基本使用案例會針對所有適用於IoT的Defender元件使用相同的篩選。 不過,針對進階使用案例,您可能想要針對下列適用於IoT的Defender元件設定個別篩選:
horizon:擷取深層封包檢查 (DPI) 數據collector:擷取PCAP資料traffic-monitor:擷取通訊統計數據
注意
擷取篩選器不適用於 適用於IoT的Defender惡意代碼警示,這些警示會在所有偵測到的網路流量上觸發。
擷取篩選命令具有字元長度限制,其依據擷取篩選定義的複雜度和可用的網路適配器功能。 如果要求的篩選條件失敗,請嘗試將子網分組到較大的範圍,並使用較短的擷取篩選命令。
為所有元件建立基本篩選
用來設定基本擷取篩選的方法會有所不同,視執行 命令的使用者而定:
- cyberx 使用者:使用特定屬性執行指定的命令,以設定擷取篩選條件。
- 系統管理員 使用者:執行指定的命令,然後輸入 CLI 所提示的值、編輯 Nano 編輯器中的 include 和 exclude 清單。
使用下列命令來建立新的擷取篩選:
| User | Command | 完整命令語法 |
|---|---|---|
| admin | network capture-filter |
沒有屬性。 |
| 網路x 或具有根存取權的系統管理員 | cyberx-xsense-capture-filter |
cyberx-xsense-capture-filter [-h] [-i INCLUDE] [-x EXCLUDE] [-etp EXCLUDE_TCP_PORT] [-eup EXCLUDE_UDP_PORT] [-itp INCLUDE_TCP_PORT] [-iup INCLUDE_UDP_PORT] [-vlan INCLUDE_VLAN_IDS] -m MODE [-S] |
網路使用者支援的屬性定義如下:
| 屬性 | 描述 |
|---|---|
-h, --help |
顯示說明訊息並結束。 |
-i <INCLUDE>, --include <INCLUDE> |
檔案的路徑,其中包含您想要包含的裝置和子網掩碼,其中 <INCLUDE> 是檔案的路徑。 例如,請參閱 範例 include 或 exclude 檔案。 |
-x EXCLUDE, --exclude EXCLUDE |
包含您要排除之裝置和子網掩碼的檔案路徑,其中 <EXCLUDE> 是檔案的路徑。 例如,請參閱 範例 include 或 exclude 檔案。 |
- -etp <EXCLUDE_TCP_PORT>, --exclude-tcp-port <EXCLUDE_TCP_PORT> |
排除任何指定埠上的 TCP 流量,其中 <EXCLUDE_TCP_PORT> 會定義您要排除的埠或埠。 以逗號分隔多個埠,不含空格。 |
-eup <EXCLUDE_UDP_PORT>, --exclude-udp-port <EXCLUDE_UDP_PORT> |
排除任何指定埠上的 UDP 流量,其中 <EXCLUDE_UDP_PORT> 會定義您要排除的埠或埠。 以逗號分隔多個埠,不含空格。 |
-itp <INCLUDE_TCP_PORT>, --include-tcp-port <INCLUDE_TCP_PORT> |
包含任何指定埠上的 TCP 流量,其中 <INCLUDE_TCP_PORT> 會定義您想要包含的埠或埠。 以逗號分隔多個埠,不含空格。 |
-iup <INCLUDE_UDP_PORT>, --include-udp-port <INCLUDE_UDP_PORT> |
包含任何指定埠上的 UDP 流量,其中 <INCLUDE_UDP_PORT> 會定義您想要包含的埠或埠。 以逗號分隔多個埠,不含空格。 |
-vlan <INCLUDE_VLAN_IDS>, --include-vlan-ids <INCLUDE_VLAN_IDS> |
依指定的 VLAN 識別碼包含 VLAN 流量, <INCLUDE_VLAN_IDS> 定義您想要包含的 VLAN 識別碼或識別碼。 以逗號分隔多個 VLAN 識別符,不含空格。 |
-p <PROGRAM>, --program <PROGRAM> |
定義您要設定擷取篩選的元件。 用於 all 基本使用案例,為所有元件建立單一擷取篩選。 針對進階使用案例,請為每個元件建立個別的擷取篩選。 如需詳細資訊,請參閱 為特定元件建立進階篩選。 |
-m <MODE>, --mode <MODE> |
定義包含清單模式,而且只有在使用包含清單時才相關。 使用下列其中一個值: - internal:包含指定來源與目的地之間的所有通訊 - all-connected:包含指定端點與外部端點之間的所有通訊。 例如,對於端點 A 和 B,如果您使用 internal 模式,則包含的流量只會包含端點 A 與 B 之間的通訊。不過,如果您使用 all-connected 模式,包含的流量將會包含 A 或 B 與其他外部端點之間的所有通訊。 |
例如,包含或排除 .txt 檔案可能包含下列專案:
192.168.50.10
172.20.248.1
使用系統管理員使用者建立基本擷取篩選
如果您要以系統管理員使用者身分建立基本擷取篩選,則原始命令中不會傳遞任何屬性。 相反地,會顯示一系列提示,以協助您以互動方式建立擷取篩選。
回復顯示的提示,如下所示:
Would you like to supply devices and subnet masks you wish to include in the capture filter? [Y/N]:選取
Y以開啟新的 Include 檔案,您可以在其中新增您想要包含在受監視流量中的裝置、通道和/或子網。 未列在包含檔案中的其他任何流量,都不會內嵌至適用於IoT的Defender。內含檔案會在 Nano 文字編輯器中開啟。 在 include 檔案中,定義裝置、通道和子網,如下所示:
類型 描述 範例 裝置 依其IP位址定義裝置。 1.1.1.1包含此裝置的所有流量。通道 依來源和目的地裝置的IP位址定義通道,並以逗號分隔。 1.1.1.1,2.2.2.2包含此通道的所有流量。子網路 依其網路位址定義子網。 1.1.1包含此子網的所有流量。列出個別數據列中的多個自變數。
Would you like to supply devices and subnet masks you wish to exclude from the capture filter? [Y/N]:選取
Y以開啟新的排除檔案,您可以在其中新增您想要從受監視流量排除的裝置、通道和/或子網。 任何其他流量,未列在您的排除檔案中,會內嵌至適用於IoT的Defender。排除檔案會在 Nano 文字編輯器中開啟。 在排除檔案中,定義裝置、通道和子網,如下所示:
類型 描述 範例 裝置 依其IP位址定義裝置。 1.1.1.1排除此裝置的所有流量。通道 依來源和目的地裝置的IP位址定義通道,並以逗號分隔。 1.1.1.1,2.2.2.2排除這些裝置之間的所有流量。依埠的通道 依來源和目的地裝置的IP位址以及流量埠來定義通道。 1.1.1.1,2.2.2.2,443排除這些裝置與使用指定埠之間的所有流量。子網路 依其網路位址定義子網。 1.1.1排除此子網的所有流量。子網通道 定義來源和目的地子網的子網通道網路位址。 1.1.1,2.2.2排除這些子網之間的所有流量。列出個別數據列中的多個自變數。
回復下列提示,以定義要包含或排除的任何 TCP 或 UDP 連接埠。 以逗號分隔多個埠,然後按 ENTER 鍵略過任何特定提示。
Enter tcp ports to include (delimited by comma or Enter to skip):Enter udp ports to include (delimited by comma or Enter to skip):Enter tcp ports to exclude (delimited by comma or Enter to skip):Enter udp ports to exclude (delimited by comma or Enter to skip):Enter VLAN ids to include (delimited by comma or Enter to skip):
例如,輸入多個埠,如下所示:
502,443In which component do you wish to apply this capture filter?輸入
all作為基本擷取篩選條件。 針對 進階使用案例,請分別為每個適用於IoT的Defender元件建立擷取篩選。Type Y for "internal" otherwise N for "all-connected" (custom operation mode enabled) [Y/N]:此提示可讓您設定範圍中的流量。 定義您是否要收集兩個端點都在範圍的流量,或只有其中一個位於指定的子網中。 支援的值包括:
internal:包含指定來源與目的地之間的所有通訊all-connected:包含指定端點與外部端點之間的所有通訊。
例如,對於端點 A 和 B,如果您使用
internal模式,則包含的流量只會包含端點 A 與 B 之間的通訊。
不過,如果您使用all-connected模式,包含的流量將會包含 A 或 B 與其他外部端點之間的所有通訊。預設模式為
internal。 若要使用all-connected模式,請在提示字元中選取Y,然後輸入all-connected。
下列範例顯示一系列提示,這些提示會建立擷取篩選以排除子網 192.168.x.x 和埠 9000:
root@xsense: network capture-filter
Would you like to supply devices and subnet masks you wish to include in the capture filter? [y/N]: n
Would you like to supply devices and subnet masks you wish to exclude from the capture filter? [y/N]: y
You've exited the editor. Would you like to apply your modifications? [y/N]: y
Enter tcp ports to include (delimited by comma or Enter to skip):
Enter udp ports to include (delimited by comma or Enter to skip):
Enter tcp ports to exclude (delimited by comma or Enter to skip):9000
Enter udp ports to exclude (delimited by comma or Enter to skip):9000
Enter VLAN ids to include (delimited by comma or Enter to skip):
In which component do you wish to apply this capture filter?all
Would you like to supply a custom base capture filter for the collector component? [y/N]: n
Would you like to supply a custom base capture filter for the traffic_monitor component? [y/N]: n
Would you like to supply a custom base capture filter for the horizon component? [y/N]: n
type Y for "internal" otherwise N for "all-connected" (custom operation mode enabled) [Y/n]: internal
Please respond with 'yes' or 'no' (or 'y' or 'n').
type Y for "internal" otherwise N for "all-connected" (custom operation mode enabled) [Y/n]: y
starting "/usr/local/bin/cyberx-xsense-capture-filter --exclude /var/cyberx/media/capture-filter/exclude --exclude-tcp-port 9000 --exclude-udp-port 9000 --program all --mode internal --from-shell"
No include file given
Loaded 1 unique channels
(000) ret #262144
(000) ldh [12]
......
......
......
debug: set new filter for horizon '(((not (net 192.168))) and (not (tcp port 9000)) and (not (udp port 9000))) or (vlan and ((not (net 192.168))) and (not (tcp port 9000)) and (not (udp port 9000)))'
root@xsense:
為特定元件建立進階篩選
設定特定元件的進階擷取篩選時,您可以使用初始包含和排除檔案作為基底或範本、擷取篩選。 然後,視需要針對基底上的每個元件設定額外的篩選。
若要為每個元件建立擷取篩選,請務必針對每個元件重複整個程式。
注意
如果您已為不同的元件建立不同的擷取篩選,則模式選取專案會用於所有元件。 將一個元件的擷取篩選定義為 internal ,以及不支援另一個元件的 all-connected 擷取篩選。
| User | Command | 完整命令語法 |
|---|---|---|
| admin | network capture-filter |
沒有屬性。 |
| 網路x 或具有根存取權的系統管理員 | cyberx-xsense-capture-filter |
cyberx-xsense-capture-filter [-h] [-i INCLUDE] [-x EXCLUDE] [-etp EXCLUDE_TCP_PORT] [-eup EXCLUDE_UDP_PORT] [-itp INCLUDE_TCP_PORT] [-iup INCLUDE_UDP_PORT] [-vlan INCLUDE_VLAN_IDS] -p PROGRAM [-o BASE_HORIZON] [-s BASE_TRAFFIC_MONITOR] [-c BASE_COLLECTOR] -m MODE [-S] |
網路使用者會使用下列額外屬性,分別為每個元件建立擷取篩選:
| 屬性 | 描述 |
|---|---|
-p <PROGRAM>, --program <PROGRAM> |
定義您要設定擷取篩選的元件,其中 <PROGRAM> 具有下列支援的值:- traffic-monitor - collector - horizon - all:為所有元件建立單一擷取篩選。 如需詳細資訊,請參閱 為所有元件建立基本篩選。 |
-o <BASE_HORIZON>, --base-horizon <BASE_HORIZON> |
定義元件的基底擷取篩選 horizon ,其中 <BASE_HORIZON> 是您想要使用的篩選。 預設值 = "" |
-s BASE_TRAFFIC_MONITOR, --base-traffic-monitor BASE_TRAFFIC_MONITOR |
定義元件的基底擷取篩選 traffic-monitor 。 預設值 = "" |
-c BASE_COLLECTOR, --base-collector BASE_COLLECTOR |
定義元件的基底擷取篩選 collector 。 預設值 = "" |
其他屬性值的描述與稍早所述的基本使用案例相同。
使用系統管理員使用者建立進階擷取篩選
如果您要個別建立每個元件的擷取篩選作為系統管理員使用者,則原始命令中不會傳遞任何屬性。 相反地,會顯示一系列提示,以協助您以互動方式建立擷取篩選。
大部分的提示都與 基本使用案例相同。 回復下列額外提示,如下所示:
In which component do you wish to apply this capture filter?根據您要篩選的元件,輸入下列其中一個值:
horizontraffic-monitorcollector
系統會提示您為選取的元件設定自定義基底擷取篩選。 此選項會使用您在先前步驟中設定的擷取篩選器作為基底或範本,您可以在基底之上新增額外的設定。
例如,如果您已選取以在上一個步驟中設定
collector元件的擷取篩選,系統會提示您:Would you like to supply a custom base capture filter for the collector component? [Y/N]:輸入
Y以自定義指定元件的範本,或使用N您稍早設定的擷取篩選。
繼續進行其餘的提示,如基本使用案例所示。
列出特定元件的目前擷取篩選
使用下列命令來顯示針對感測器所設定之目前擷取篩選器的詳細數據。
| User | Command | 完整命令語法 |
|---|---|---|
| admin | 使用下列命令來檢視每個元件的擷取篩選: - horizon: edit-config horizon_parser/horizon.properties - traffic-monitor: edit-config traffic_monitor/traffic-monitor - 收集器: edit-config dumpark.properties |
沒有屬性 |
| 網路x 或具有根存取權的系統管理員 | 使用下列命令來檢視每個元件的擷取篩選: -horizon: nano /var/cyberx/properties/horizon_parser/horizon.properties - traffic-monitor: nano /var/cyberx/properties/traffic_monitor/traffic-monitor.properties - 收集器: nano /var/cyberx/properties/dumpark.properties |
沒有屬性 |
這些命令會開啟下列檔案,其中列出針對每個元件設定的擷取篩選:
| 名稱 | 檔案 | 屬性 |
|---|---|---|
| 地平線 | /var/cyberx/properties/horizon.properties |
horizon.processor.filter |
| traffic-monitor | /var/cyberx/properties/traffic-monitor.properties |
horizon.processor.filter |
| 收藏家 | /var/cyberx/properties/dumpark.properties |
dumpark.network.filter |
例如, 使用系統管理員 使用者,針對排除子網 192.168.x.x 和埠 9000 的 收集器 元件定義擷取篩選:
root@xsense: edit-config dumpark.properties
GNU nano 2.9.3 /tmp/tmpevt4igo7/tmpevt4igo7
dumpark.network.filter=(((not (net 192.168))) and (not (tcp port 9000)) and (not
dumpark.network.snaplen=4096
dumpark.packet.filter.data.transfer=false
dumpark.infinite=true
dumpark.output.session=false
dumpark.output.single=false
dumpark.output.raw=true
dumpark.output.rotate=true
dumpark.output.rotate.history=300
dumpark.output.size=20M
dumpark.output.time=30S
重設所有擷取篩選
使用下列命令,將感測器重設為網路 x 用戶的預設擷取組態,並移除所有擷取篩選器。
| User | Command | 完整命令語法 |
|---|---|---|
| 網路x 或具有根存取權的系統管理員 | cyberx-xsense-capture-filter -p all -m all-connected |
沒有屬性 |
如果您想要修改現有的擷取篩選條件,請使用新的屬性值再次執行 先前的 命令。
若要使用 系統管理員 使用者重設所有擷取篩選,請再次執行 先前的 命令,並回應 N 所有 提示 來重設所有擷取篩選條件。
下列範例顯示 cyberx 使用者的命令語法和回應:
root@xsense:/# cyberx-xsense-capture-filter -p all -m all-connected
starting "/usr/local/bin/cyberx-xsense-capture-filter -p all -m all-connected"
No include file given
No exclude file given
(000) ret #262144
(000) ret #262144
debug: set new filter for dumpark ''
No include file given
No exclude file given
(000) ret #262144
(000) ret #262144
debug: set new filter for traffic-monitor ''
No include file given
No exclude file given
(000) ret #262144
(000) ret #262144
debug: set new filter for horizon ''
root@xsense:/#