Справочник по командам CLI из сетевых датчиков OT

В этой статье перечислены команды CLI, доступные из сетевых датчиков Defender для Интернета вещей.

Внимание

Для настройки клиента поддерживаются только задокументированные параметры конфигурации на сетевом датчике OT и локальных консоль управления. Не изменяйте никакие незадокументированные параметры конфигурации или системные свойства, так как изменения могут вызвать непредвиденные сбои поведения и системы.

Удаление пакетов с датчика без утверждения Майкрософт может привести к непредвиденным результатам. Для правильной функциональности датчика требуются все пакеты, установленные на датчике.

Необходимые компоненты

Прежде чем выполнять любую из следующих команд CLI, вам потребуется доступ к CLI на сетевом датчике OT в качестве привилегированного пользователя.

Хотя в этой статье перечислены синтаксис команды для каждого пользователя, рекомендуется использовать пользователя администратора для всех команд CLI, в которых поддерживается пользователь администратора .

Дополнительные сведения см. в статье Access the CLI and Privileged user access for OT monitoring.

Обслуживание устройства

Проверка работоспособности служб мониторинга OT

Используйте следующие команды, чтобы убедиться, что приложение Defender для Интернета вещей на датчике OT работает правильно, включая веб-консоль и процессы анализа трафика.

Проверки работоспособности также доступны в консоли датчиков OT. Дополнительные сведения см. в разделе "Устранение неполадок датчика".

User	Команда	Полный синтаксис команды
admin	system sanity	Нет атрибутов
cyberx или администратор с корневым доступом	cyberx-xsense-sanity	Нет атрибутов

В следующем примере показан синтаксис команды и ответ пользователя администратора :

shell> system sanity
[+] C-Cabra Engine | Running for 17:26:30.191945
[+] Cache Layer | Running for 17:26:32.352745
[+] Core API | Running for 17:26:28
[+] Health Monitor | Running for 17:26:28
[+] Horizon Agent 1 | Running for 17:26:27
[+] Horizon Parser | Running for 17:26:30.183145
[+] Network Processor | Running for 17:26:27
[+] Persistence Layer | Running for 17:26:33.577045
[+] Profiling Service | Running for 17:26:34.105745
[+] Traffic Monitor | Running for 17:26:30.345145
[+] Upload Manager Service | Running for 17:26:31.514645
[+] Watch Dog | Running for 17:26:30
[+] Web Apps | Running for 17:26:30

System is UP! (medium)

Перезапуск устройства

Используйте следующие команды, чтобы перезапустить устройство датчика OT.

User	Команда	Полный синтаксис команды
admin	system reboot	Нет атрибутов
cyberx_host или администратор с корневым доступом	sudo reboot	Нет атрибутов

Например, для пользователя администратора :

shell> system reboot

Завершение работы устройства

Используйте следующие команды, чтобы завершить работу устройства датчика OT.

User	Команда	Полный синтаксис команды
admin	system shutdown	Нет атрибутов
cyberx_host или администратор с корневым доступом	sudo shutdown -r now	Нет атрибутов

Например, для пользователя администратора :

shell> system shutdown

Отображение установленной версии программного обеспечения

Используйте следующие команды, чтобы получить список версий программного обеспечения Defender для Интернета вещей, установленных на датчике OT.

User	Команда	Полный синтаксис команды
admin	system version	Нет атрибутов
cyberx или администратор с корневым доступом	cyberx-xsense-version	Нет атрибутов

Например, для пользователя администратора :

shell> system version
Version: 22.2.5.9-r-2121448

Отображение текущей даты и времени системы

Используйте следующие команды, чтобы отобразить текущую системную дату и время на сетевом датчике OT в формате GMT.

User	Команда	Полный синтаксис команды
admin	date	Нет атрибутов
cyberx или администратор с корневым доступом	date	Нет атрибутов
cyberx_host или администратор с корневым доступом	date	Нет атрибутов

Например, для пользователя администратора :

shell> date
Thu Sep 29 18:38:23 UTC 2022
shell>

Включение синхронизации времени NTP

Используйте следующие команды, чтобы включить синхронизацию для времени устройства с сервером NTP.

Чтобы использовать эти команды, убедитесь, что:

• Сервер NTP можно получить из порта управления устройством.
• Один и тот же сервер NTP используется для синхронизации всех устройств датчиков и локальных консоль управления

User	Команда	Полный синтаксис команды
admin	ntp enable <IP address>	Нет атрибутов
cyberx или администратор с корневым доступом	cyberx-xsense-ntp-enable <IP address>	Нет атрибутов

В этих командах <IP address> используется IP-адрес допустимого NTP-сервера IPv4 с портом 123.

Например, для пользователя администратора :

shell> ntp enable 129.6.15.28
shell>

Отключение синхронизации времени NTP

Используйте следующие команды, чтобы отключить синхронизацию для времени устройства с сервером NTP.

User	Команда	Полный синтаксис команды
admin	ntp disable <IP address>	Нет атрибутов
cyberx или администратор с корневым доступом	cyberx-xsense-ntp-disable <IP address>	Нет атрибутов

В этих командах <IP address> используется IP-адрес допустимого NTP-сервера IPv4 с портом 123.

Например, для пользователя администратора :

shell> ntp disable 129.6.15.28
shell>

Резервное копирование и восстановление

В следующих разделах описаны команды CLI, поддерживаемые для резервного копирования и восстановления системного снимка сетевого датчика OT.

Файлы резервного копирования включают полный снимок состояния датчика, включая параметры конфигурации, базовые значения, данные инвентаризации и журналы.

Внимание

Не прерывайте операцию резервного копирования или восстановления системы, так как это может привести к неиспользуемой системе.

Запуск немедленной незапланированного резервного копирования

Используйте следующую команду, чтобы начать немедленную незапланированную резервную копию данных на датчике OT. Дополнительные сведения см. в разделе "Настройка файлов резервного копирования и восстановления".

Внимание

Не забудьте остановить или отключить устройство при резервном копировании данных.

User	Команда	Полный синтаксис команды
admin	system backup create	Нет атрибутов
cyberx или администратор с корневым доступом	cyberx-xsense-system-backup	Нет атрибутов

Например, для пользователя администратора :

shell> system backup create
Backing up DATA_KEY
...
...
Finished backup. Backup is stored at /var/cyberx/backups/e2e-xsense-1664469968212-backup-version-22.2.6.318-r-71e6295-2022-09-29_18:29:55.tar
Setting backup status 'SUCCESS' in redis
shell>

Вывод списка текущих файлов резервного копирования

Используйте следующие команды, чтобы получить список файлов резервной копии, хранящихся в сетевом датчике OT.

User	Команда	Полный синтаксис команды
admin	system backup list	Нет атрибутов
cyberx или администратор с корневым доступом	cyberx-xsense-system-backup-list	Нет атрибутов

Например, для пользователя администратора :

shell> system backup list
backup files:
        e2e-xsense-1664469968212-backup-version-22.3.0.318-r-71e6295-2022-09-29_18:30:20.tar
        e2e-xsense-1664469968212-backup-version-22.3.0.318-r-71e6295-2022-09-29_18:29:55.tar
shell>

Восстановление данных из последней резервной копии

Используйте следующую команду, чтобы восстановить данные на сетевом датчике OT с помощью последнего файла резервного копирования. При появлении запроса убедитесь, что вы хотите продолжить.

Внимание

Не следует останавливать или отключать устройство при восстановлении данных.

User	Команда	Полный синтаксис команды
admin	system restore	Нет атрибутов
cyberx или администратор с корневым доступом	cyberx-xsense-system-restore	-f <filename>

Например, для пользователя администратора :

shell> system restore
Waiting for redis to start...
Redis is up
Use backup file as "/var/cyberx/backups/e2e-xsense-1664469968212-backup-version-22.2.6.318-r-71e6295-2022-09-29_18:30:20.tar" ? [Y/n]: y
WARNING - the following procedure will restore data. do not stop or power off the server machine while this procedure is running. Are you sure you wish to proceed? [Y/n]: y
...
...
watchdog started
starting components
shell>

Отображение выделения места на диске резервного копирования

Следующая команда перечисляет текущее выделение места на диске резервного копирования, включая следующие сведения:

• Расположение папки резервного копирования
• Размер папки резервного копирования
• Ограничения папок резервного копирования
• Время последней операции резервного копирования
• Свободное место на диске, доступное для резервных копий

User	Команда	Полный синтаксис команды
admin	cyberx-backup-memory-check	Нет атрибутов

Например, для пользователя администратора :

shell> cyberx-backup-memory-check
2.1M    /var/cyberx/backups
Backup limit is: 20Gb
shell>

Управление локальными пользователями

Изменение паролей локального пользователя

Используйте следующие команды, чтобы изменить пароли для локальных пользователей на датчике OT. Новый пароль должен содержать не менее 8 символов, содержать строчные и прописные буквы, алфавитные символы, цифры и символы.

При изменении пароля администратора пароль изменяется как для SSH, так и для веб-доступа.

User	Команда	Полный синтаксис команды
admin	system password	<username>

В следующем примере показано изменение пароля администратора . Новый пароль не отображается на экране при вводе, обязательно запишите его и убедитесь, что он правильно введен при запросе повторного ввода пароля.

shell>system password user1
Enter New Password for user1: 
Reenter Password:
shell>

Сетевая конфигурация

Изменение конфигурации сети или переназначение ролей сетевого интерфейса

Используйте следующую команду, чтобы повторно запустить мастер настройки программного обеспечения для мониторинга OT, который помогает определить или перенастроить следующие параметры датчика OT:

• Включение и отключение интерфейсов мониторинга SPAN
• Настройка параметров сети для интерфейса управления (IP, подсети, шлюза по умолчанию, DNS)
• Назначение каталога резервного копирования

User	Команда	Полный синтаксис команды
admin	network reconfigure	Нет атрибутов
киберкс	python3 -m cyberx.config.configure	Нет атрибутов

Например, с пользователем администратора :

shell> network reconfigure

Мастер настройки запускается автоматически после выполнения этой команды. Дополнительные сведения см. в разделе "Установка программного обеспечения мониторинга OT".

Проверка и отображение конфигурации сетевого интерфейса

Используйте следующие команды для проверки и отображения текущей конфигурации сетевого интерфейса на датчике OT.

User	Команда	Полный синтаксис команды
admin	network validate	Нет атрибутов

Например, для пользователя администратора :

shell> network validate
Success! (Appliance configuration matches the network settings)
Current Network Settings:
interface: eth0
ip: 172.20.248.69
subnet: 255.255.192.0
default gateway: 10.1.0.1
dns: 168.63.129.16
monitor interfaces mapping: local_listener=adiot0
shell>

Проверка сетевого подключения с датчика OT

Используйте следующую команду, чтобы отправить сообщение с помощью датчика OT.

User	Команда	Полный синтаксис команды
admin	ping <IP address>	Нет атрибутов
cyberx или администратор с корневым доступом	ping <IP address>	Нет атрибутов

В этих командах <IP address> ip-адрес допустимого сетевого узла IPv4, доступного из порта управления на датчике OT.

Поиск физического порта путем мигания индикаторов интерфейса

Используйте следующую команду, чтобы найти определенный физический интерфейс, вызвав мигание индикаторов интерфейса.

User	Команда	Полный синтаксис команды
admin	network blink <INT>	Нет атрибутов

В этой команде <INT> используется физический порт Ethernet на устройстве.

В следующем примере показан пользователь администратора , мигающий интерфейс eth0 :

shell> network blink eth0
Blinking interface for 20 seconds ...

Перечисление подключенных физических интерфейсов

Используйте следующую команду, чтобы перечислить подключенные физические интерфейсы на датчике OT.

User	Команда	Полный синтаксис команды
admin	network list	Нет атрибутов
cyberx или администратор с корневым доступом	ifconfig	Нет атрибутов

Например, для пользователя администратора :

shell> network list
adiot0: flags=4419<UP,BROADCAST,RUNNING,PROMISC,MULTICAST>  mtu 4096
        ether be:b1:01:1f:91:88  txqueuelen 1000  (Ethernet)
        RX packets 2589575  bytes 740011013 (740.0 MB)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 1  bytes 90 (90.0 B)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

eth0: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 1500
        inet 172.18.0.2  netmask 255.255.0.0  broadcast 172.18.255.255
        ether 02:42:ac:12:00:02  txqueuelen 0  (Ethernet)
        RX packets 22419372  bytes 5757035946 (5.7 GB)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 23078301  bytes 2544599581 (2.5 GB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

lo: flags=73<UP,LOOPBACK,RUNNING>  mtu 65536
        inet 127.0.0.1  netmask 255.0.0.0
        loop  txqueuelen 1000  (Local Loopback)
        RX packets 837196  bytes 259542408 (259.5 MB)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 837196  bytes 259542408 (259.5 MB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

shell>

Фильтры отслеживания трафика

Чтобы уменьшить усталость оповещений и сосредоточиться на мониторинге сети на трафике с высоким приоритетом, вы можете отфильтровать трафик, который передается в Defender для Интернета вещей в источнике. Фильтры отслеживания позволяют блокировать трафик высокой пропускной способности на аппаратном уровне, оптимизируя производительность устройства и использование ресурсов.

Используйте списки включения или исключения для создания и настройки фильтров записи на сетевых датчиках OT, убедившись, что вы не блокируете какой-либо трафик, который требуется отслеживать.

Базовый вариант использования фильтров отслеживания использует один и тот же фильтр для всех компонентов Defender для Интернета вещей. Однако для расширенных вариантов использования может потребоваться настроить отдельные фильтры для каждого из следующих компонентов Defender для Интернета вещей:

• horizon: записывает данные глубокой проверки пакетов (DPI)
• collector: записывает данные PCAP
• traffic-monitor: записывает статистику связи

Примечание.

• Фильтры отслеживания не применяются к оповещениям вредоносных программ Defender для Интернета вещей, которые активируются во всех обнаруженных сетевых трафиках.

• Команда фильтра отслеживания имеет ограничение длины символов, основанное на сложности определения фильтра захвата и доступных возможностей сетевого интерфейса. Если запрошенный фильтр commmand завершается ошибкой, попробуйте сгруппировать подсети в большие области и использовать более короткую команду фильтра записи.

Создание базового фильтра для всех компонентов

Метод, используемый для настройки базового фильтра записи, отличается в зависимости от пользователя, выполняющего команду:

• пользователь cyberx : выполните указанную команду с определенными атрибутами, чтобы настроить фильтр записи.
• пользователь администратора : выполните указанную команду, а затем введите значения, как показано в интерфейсе командной строки, редактирование списков включения и исключения в редакторе nano.

Используйте следующие команды, чтобы создать новый фильтр записи:

User	Команда	Полный синтаксис команды
admin	network capture-filter	Атрибуты отсутствуют.
cyberx или администратор с корневым доступом	cyberx-xsense-capture-filter	cyberx-xsense-capture-filter [-h] [-i INCLUDE] [-x EXCLUDE] [-etp EXCLUDE_TCP_PORT] [-eup EXCLUDE_UDP_PORT] [-itp INCLUDE_TCP_PORT] [-iup INCLUDE_UDP_PORT] [-vlan INCLUDE_VLAN_IDS] -m MODE [-S]

Поддерживаемые атрибуты для пользователя cyberx определяются следующим образом:

Атрибут	Description
-h, --help	Отображает сообщение справки и выход.
-i <INCLUDE>, --include <INCLUDE>	Путь к файлу, который содержит маски устройств и подсети, которые необходимо включить, где <INCLUDE> находится путь к файлу. Например, см . пример файла включения или исключения.
-x EXCLUDE, --exclude EXCLUDE	Путь к файлу, который содержит маски устройств и подсети, которые необходимо исключить, где <EXCLUDE> находится путь к файлу. Например, см . пример файла включения или исключения.
- -etp <EXCLUDE_TCP_PORT>, --exclude-tcp-port <EXCLUDE_TCP_PORT>	Исключает TCP-трафик на любых указанных портах, где <EXCLUDE_TCP_PORT> определяет порт или порты, которые необходимо исключить. Разделяйте несколько портов запятыми без пробелов.
-eup <EXCLUDE_UDP_PORT>, --exclude-udp-port <EXCLUDE_UDP_PORT>	Исключает трафик UDP на любых указанных портах, где <EXCLUDE_UDP_PORT> определяет порт или порты, которые требуется исключить. Разделяйте несколько портов запятыми без пробелов.
-itp <INCLUDE_TCP_PORT>, --include-tcp-port <INCLUDE_TCP_PORT>	Включает TCP-трафик на любых указанных портах, где <INCLUDE_TCP_PORT> определяет порт или порты, которые требуется включить. Разделяйте несколько портов запятыми без пробелов.
-iup <INCLUDE_UDP_PORT>, --include-udp-port <INCLUDE_UDP_PORT>	Включает трафик UDP на любых указанных портах, где <INCLUDE_UDP_PORT> определяет порт или порты, которые необходимо включить. Разделяйте несколько портов запятыми без пробелов.
-vlan <INCLUDE_VLAN_IDS>, --include-vlan-ids <INCLUDE_VLAN_IDS>	Включает трафик виртуальной локальной сети по указанным идентификаторам виртуальной локальной сети, определяет идентификатор или идентификаторы виртуальной ЛС, <INCLUDE_VLAN_IDS> которые требуется включить. Разделяйте несколько идентификаторов виртуальной локальной сети запятыми без пробелов.
-p <PROGRAM>, --program <PROGRAM>	Определяет компонент, для которого требуется настроить фильтр записи. Используйте all для основных вариантов использования, чтобы создать один фильтр записи для всех компонентов. Для расширенных вариантов использования создайте отдельные фильтры записи для каждого компонента. Дополнительные сведения см. в статье "Создание расширенного фильтра для определенных компонентов".
-m <MODE>, --mode <MODE>	Определяет режим включения списка и имеет значение, только если используется список включения. Используйте одно из следующих значений: - internal: включает все связи между указанным источником и назначением. - all-connected: включает все связи между любой из указанных конечных точек и внешними конечными точками. Например, для конечных точек A и B, если используется internal режим, включенный трафик будет включать только обмен данными между конечными точками A и B. Однако при использовании all-connected режима включен трафик будет включать все связи между A или B и другими внешними конечными точками.

Пример файла include или exclude

Например, файл включения или исключения .txt может включать следующие записи:

192.168.50.10
172.20.248.1

Создание базового фильтра записи с помощью пользователя администратора

Если вы создаете базовый фильтр записи в качестве пользователя администратора, атрибуты не передаются в исходной команде. Вместо этого отображается ряд запросов, которые помогут вам в интерактивном режиме создать фильтр записи.

Ответить на запросы, отображаемые следующим образом:

1. Would you like to supply devices and subnet masks you wish to include in the capture filter? [Y/N]:

   Выберите Y , чтобы открыть новый файл включения, где можно добавить устройство, канал и (или) подсеть, которую вы хотите включить в отслеживаемый трафик. Любой другой трафик, не указанный в файле включения, не передается в Defender для Интернета вещей.

   Файл включения открывается в текстовом редакторе Nano . В файле include определите устройства, каналы и подсети следующим образом:

   Тип	Описание	Пример
   Устройство	Определите устройство по IP-адресу.	1.1.1.1 включает весь трафик для этого устройства.
   Канал	Определите канал по IP-адресам своих исходных и конечных устройств, разделенных запятой.	1.1.1.1,2.2.2.2 включает весь трафик для этого канала.
   Подсеть	Определите подсеть по сетевому адресу.	1.1.1 включает весь трафик для этой подсети.

   Вывод списка нескольких аргументов в отдельных строках.

2. Would you like to supply devices and subnet masks you wish to exclude from the capture filter? [Y/N]:

   Выберите Y , чтобы открыть новый файл исключения, в котором можно добавить устройство, канал и (или) подсеть, которую вы хотите исключить из отслеживаемого трафика. Любой другой трафик, не указанный в файле исключения, передается в Defender для Интернета вещей.

   Файл исключения открывается в текстовом редакторе Nano . В файле исключения определите устройства, каналы и подсети следующим образом:

   Тип	Описание	Пример
   Устройство	Определите устройство по IP-адресу.	1.1.1.1 исключает весь трафик для этого устройства.
   Канал	Определите канал по IP-адресам своих исходных и конечных устройств, разделенных запятой.	1.1.1.1,2.2.2.2 исключает весь трафик между этими устройствами.
   Канал по порту	Определите канал по IP-адресам своих исходных и целевых устройств и порту трафика.	1.1.1.1,2.2.2.2,443 исключает весь трафик между этими устройствами и использует указанный порт.
   Подсеть	Определите подсеть по сетевому адресу.	1.1.1 исключает весь трафик для этой подсети.
   Канал подсети	Определите сетевые адреса канала подсети для исходных и целевых подсетей.	1.1.1,2.2.2 исключает весь трафик между этими подсетями.

   Вывод списка нескольких аргументов в отдельных строках.

3. Ответ на приведенные ниже запросы на определение портов TCP или UDP для включения или исключения. Разделите несколько портов по запятой и нажмите клавишу ВВОД, чтобы пропустить любой конкретный запрос.

   • Enter tcp ports to include (delimited by comma or Enter to skip):
   • Enter udp ports to include (delimited by comma or Enter to skip):
   • Enter tcp ports to exclude (delimited by comma or Enter to skip):
   • Enter udp ports to exclude (delimited by comma or Enter to skip):
   • Enter VLAN ids to include (delimited by comma or Enter to skip):

   Например, введите несколько портов следующим образом: 502,443

4. In which component do you wish to apply this capture filter?

   Введите all базовый фильтр записи. Для расширенных вариантов использования создайте фильтры записи для каждого компонента Defender для Интернета вещей отдельно.

5. Type Y for "internal" otherwise N for "all-connected" (custom operation mode enabled) [Y/N]:

   Этот запрос позволяет настроить, какой трафик находится в области. Определите, требуется ли собирать трафик, в котором обе конечные точки находятся в области, или только одна из них находится в указанной подсети. Допустимые значения:

   • internal: включает все связи между указанным источником и назначением.
   • all-connected: включает все связи между любой из указанных конечных точек и внешними конечными точками.

   Например, для конечных точек A и B, если используется internal режим, включенный трафик будет включать только обмен данными между конечными точками A и B.
   Однако при использовании all-connected режима включен трафик будет включать все связи между A или B и другими внешними конечными точками.

   internal является режимом по умолчанию. Чтобы использовать all-connected режим, выберите Y в запросе и введите all-connected.

В следующем примере показан ряд запросов, создающих фильтр записи для исключения подсети 192.168.x.x и порта. 9000:

root@xsense: network capture-filter
Would you like to supply devices and subnet masks you wish to include in the capture filter? [y/N]: n
Would you like to supply devices and subnet masks you wish to exclude from the capture filter? [y/N]: y
You've exited the editor. Would you like to apply your modifications? [y/N]: y
Enter tcp ports to include (delimited by comma or Enter to skip):
Enter udp ports to include (delimited by comma or Enter to skip):
Enter tcp ports to exclude (delimited by comma or Enter to skip):9000
Enter udp ports to exclude (delimited by comma or Enter to skip):9000
Enter VLAN ids to include (delimited by comma or Enter to skip):
In which component do you wish to apply this capture filter?all
Would you like to supply a custom base capture filter for the collector component? [y/N]: n
Would you like to supply a custom base capture filter for the traffic_monitor component? [y/N]: n
Would you like to supply a custom base capture filter for the horizon component? [y/N]: n
type Y for "internal" otherwise N for "all-connected" (custom operation mode enabled) [Y/n]: internal
Please respond with 'yes' or 'no' (or 'y' or 'n').
type Y for "internal" otherwise N for "all-connected" (custom operation mode enabled) [Y/n]: y
starting "/usr/local/bin/cyberx-xsense-capture-filter --exclude /var/cyberx/media/capture-filter/exclude --exclude-tcp-port 9000 --exclude-udp-port 9000 --program all --mode internal --from-shell"
No include file given
Loaded 1 unique channels
(000) ret      #262144
(000) ldh      [12]
......
......
......
debug: set new filter for horizon '(((not (net 192.168))) and (not (tcp port 9000)) and (not (udp port 9000))) or (vlan and ((not (net 192.168))) and (not (tcp port 9000)) and (not (udp port 9000)))'
root@xsense:

Создание расширенного фильтра для определенных компонентов

При настройке расширенных фильтров отслеживания для определенных компонентов можно использовать исходные файлы включения и исключения файлов в качестве базы или шаблона, фильтра записи. Затем настройте дополнительные фильтры для каждого компонента по мере необходимости.

Чтобы создать фильтр записи для каждого компонента, обязательно повторите весь процесс для каждого компонента.

Примечание.

Если вы создали различные фильтры записи для разных компонентов, выбор режима используется для всех компонентов. Определение фильтра записи для одного компонента как internal и фильтра записи для другого компонента, как all-connected не поддерживается.

User	Команда	Полный синтаксис команды
admin	network capture-filter	Атрибуты отсутствуют.
cyberx или администратор с корневым доступом	cyberx-xsense-capture-filter	cyberx-xsense-capture-filter [-h] [-i INCLUDE] [-x EXCLUDE] [-etp EXCLUDE_TCP_PORT] [-eup EXCLUDE_UDP_PORT] [-itp INCLUDE_TCP_PORT] [-iup INCLUDE_UDP_PORT] [-vlan INCLUDE_VLAN_IDS] -p PROGRAM [-o BASE_HORIZON] [-s BASE_TRAFFIC_MONITOR] [-c BASE_COLLECTOR] -m MODE [-S]

Для создания фильтров отслеживания для каждого компонента отдельно используются следующие дополнительные атрибуты:

Атрибут	Description
-p <PROGRAM>, --program <PROGRAM>	Определяет компонент, для которого требуется настроить фильтр записи, где <PROGRAM> имеются следующие поддерживаемые значения: - traffic-monitor - collector - horizon - all: создает один фильтр записи для всех компонентов. Дополнительные сведения см. в разделе "Создание базового фильтра для всех компонентов".
-o <BASE_HORIZON>, --base-horizon <BASE_HORIZON>	Определяет базовый фильтр записи для horizon компонента, где <BASE_HORIZON> используется фильтр. Значение по умолчанию = ""
-s BASE_TRAFFIC_MONITOR, --base-traffic-monitor BASE_TRAFFIC_MONITOR	Определяет базовый фильтр записи для traffic-monitor компонента. Значение по умолчанию = ""
-c BASE_COLLECTOR, --base-collector BASE_COLLECTOR	Определяет базовый фильтр записи для collector компонента. Значение по умолчанию = ""

Другие значения атрибутов имеют то же описание, что и в базовом варианте использования, описанном ранее.

Создание расширенного фильтра записи с помощью пользователя администратора

Если вы создаете фильтр записи для каждого компонента отдельно от имени пользователя администратора, атрибуты не передаются в исходной команде. Вместо этого отображается ряд запросов, которые помогут вам в интерактивном режиме создать фильтр записи.

Большинство запросов идентичны базовому варианту использования. Ответить на следующие дополнительные запросы:

1. In which component do you wish to apply this capture filter?

   Введите одно из следующих значений в зависимости от компонента, который требуется отфильтровать:

   • horizon
   • traffic-monitor
   • collector

2. Вам будет предложено настроить пользовательский фильтр базовой записи для выбранного компонента. Этот параметр использует фильтр отслеживания, настроенный на предыдущих шагах в качестве основы или шаблона, где можно добавить дополнительные конфигурации в верхней части базы.

   Например, если вы выбрали настройку фильтра записи для collector компонента на предыдущем шаге, вам будет предложено: Would you like to supply a custom base capture filter for the collector component? [Y/N]:

   Введите Y , чтобы настроить шаблон для указанного компонента или N использовать фильтр записи, настроенный ранее.

Продолжайте с оставшимися запросами, как в базовом варианте использования.

Вывод списка текущих фильтров отслеживания для определенных компонентов

Используйте следующие команды, чтобы отобразить сведения о текущих фильтрах записи, настроенных для датчика.

User	Команда	Полный синтаксис команды
admin	Используйте следующие команды для просмотра фильтров записи для каждого компонента: - horizon: edit-config horizon_parser/horizon.properties - монитор трафика: edit-config traffic_monitor/traffic-monitor - сборщик: edit-config dumpark.properties	Нет атрибутов
cyberx или администратор с корневым доступом	Используйте следующие команды для просмотра фильтров записи для каждого компонента: -horizon: nano /var/cyberx/properties/horizon_parser/horizon.properties - монитор трафика: nano /var/cyberx/properties/traffic_monitor/traffic-monitor.properties - сборщик: nano /var/cyberx/properties/dumpark.properties	Нет атрибутов

Эти команды открывают следующие файлы, в которых перечислены фильтры записи, настроенные для каждого компонента:

Имя.	Файлы	Свойство
горизонт	/var/cyberx/properties/horizon.properties	horizon.processor.filter
монитор трафика	/var/cyberx/properties/traffic-monitor.properties	horizon.processor.filter
коллектор	/var/cyberx/properties/dumpark.properties	dumpark.network.filter

Например, с пользователем администратора с фильтром записи, определенным для компонента сборщика , который исключает подсеть 192.168.x.x.x и порт 9000:

root@xsense: edit-config dumpark.properties
  GNU nano 2.9.3                      /tmp/tmpevt4igo7/tmpevt4igo7

dumpark.network.filter=(((not (net 192.168))) and (not (tcp port 9000)) and (not
dumpark.network.snaplen=4096
dumpark.packet.filter.data.transfer=false
dumpark.infinite=true
dumpark.output.session=false
dumpark.output.single=false
dumpark.output.raw=true
dumpark.output.rotate=true
dumpark.output.rotate.history=300
dumpark.output.size=20M
dumpark.output.time=30S

Сброс всех фильтров записи

Используйте следующую команду, чтобы сбросить датчик в конфигурацию записи по умолчанию с пользователем cyberx , удалив все фильтры записи.

User	Команда	Полный синтаксис команды
cyberx или администратор с корневым доступом	cyberx-xsense-capture-filter -p all -m all-connected	Нет атрибутов

Если вы хотите изменить существующие фильтры записи, выполните предыдущую команду еще раз с новыми значениями атрибутов.

Чтобы сбросить все фильтры записи с помощью администратора, выполните предыдущую команду еще раз и ответьте N на все запросы на сброс всех фильтров записи.

В следующем примере показан синтаксис команды и ответ для пользователя cyberx :

root@xsense:/#  cyberx-xsense-capture-filter -p all -m all-connected
starting "/usr/local/bin/cyberx-xsense-capture-filter -p all -m all-connected"
No include file given
No exclude file given
(000) ret      #262144
(000) ret      #262144
debug: set new filter for dumpark ''
No include file given
No exclude file given
(000) ret      #262144
(000) ret      #262144
debug: set new filter for traffic-monitor ''
No include file given
No exclude file given
(000) ret      #262144
(000) ret      #262144
debug: set new filter for horizon ''
root@xsense:/#

Следующие шаги

Дополнительные сведения о командах CLI Defender для Интернета вещей