CLI-Befehlsreferenz von OT-Netzwerksensoren

In diesem Artikel werden die CLI-Befehle aufgeführt, die von Defender für IoT OT-Netzwerksensoren verfügbar sind.

Voraussetzungen

Bevor Sie einen der folgenden CLI-Befehle ausführen können, benötigen Sie als privilegierter Benutzer Zugriff auf die CLI auf Ihrem OT-Netzwerksensor.

In diesem Artikel wird zwar die Befehlssyntax für jeden Benutzer aufgeführt, es wird jedoch empfohlen, den Benutzer admin für alle CLI-Befehle zu verwenden, bei denen der Benutzer admin unterstützt wird.

Weitere Informationen finden Sie unter Zugreifen auf die CLI und Privilegierter Benutzerzugriff für die OT-Überwachung.

Liste der verfügbaren Befehle

Auflisten von Befehlen in einer Kategorie

Um die Befehle in einer Kategorie aufzulisten, geben Sie help. Beispiel:

shell> help
config:
network:
system:

shell> help system
backup:
date:
ntp:

Befehle auf Shell- und Kategorieebene

Sie können Befehle auf Shell- oder Kategorieebene eingeben.

Geben Sie auf Shell-Ebene den Befehlsparameter<>< category><ein. >

Alternativ können Sie die Kategorie< eingeben und die >EINGABETASTE drücken. Die Shell ändert sich in den Kategorienamen, und geben Sie dann command<>parameter< ein>. Beispiel:

shell> system ntp enable 10.0.0.1
Starting ntp-enable 10.0.0.1
.....
Finished ntp-enable

shell> system
system> ntp enable 10.0.0.1
Starting ntp-enable 10.0.0.1
.....
Finished ntp-enable

Wartung von Geräten

Überprüfen Sie den Zustand der OT-Überwachungsdienste

Verwenden Sie die folgenden Befehle, um zu überprüfen, ob die Defender für IoT-Anwendung auf dem OT-Sensor ordnungsgemäß funktioniert, einschließlich der Webkonsole und der Datenverkehrsanalyseprozesse.

Zustandsprüfungen sind auch über die OT-Sensorkonsole verfügbar. Weitere Informationen finden Sie unter Problembehandlung beim Sensor.

Das folgende Beispiel zeigt die Befehlssyntax und -antwort für den Admin-Benutzer :

shell> system sanity
[+] C-Cabra Engine | Running for 17:26:30.191945
[+] Cache Layer | Running for 17:26:32.352745
[+] Core API | Running for 17:26:28
[+] Health Monitor | Running for 17:26:28
[+] Horizon Agent 1 | Running for 17:26:27
[+] Horizon Parser | Running for 17:26:30.183145
[+] Network Processor | Running for 17:26:27
[+] Persistence Layer | Running for 17:26:33.577045
[+] Profiling Service | Running for 17:26:34.105745
[+] Traffic Monitor | Running for 17:26:30.345145
[+] Upload Manager Service | Running for 17:26:31.514645
[+] Watch Dog | Running for 17:26:30
[+] Web Apps | Running for 17:26:30

System is UP! (medium)

Starten Sie eine Appliance neu

Verwenden Sie die folgenden Befehle, um die OT-Sensor-Appliance neu zu starten.

Zum Beispiel für den Admin-Benutzer :

shell> system reboot

Herunterfahren einer Appliance

Verwenden Sie die folgenden Befehle, um die OT-Sensor-Appliance herunterzufahren.

Zum Beispiel für den Admin-Benutzer :

shell> system shutdown

Installierte Softwareversion anzeigen

Verwenden Sie die folgenden Befehle, um die Defender für IoT-Softwareversion aufzulisten, die auf Ihrem OT-Sensor installiert ist.

Zum Beispiel für den Admin-Benutzer :

shell> system version
Version: 22.2.5.9-r-2121448

Aktuelles Systemdatum/-uhrzeit anzeigen

Verwenden Sie die folgenden Befehle, um das aktuelle Systemdatum und die aktuelle Uhrzeit auf Ihrem OT-Netzwerksensor im GMT-Format anzuzeigen.

Zum Beispiel für den Admin-Benutzer :

shell> system date
Thu Sep 29 18:38:23 UTC 2022
shell>

Aktivieren der NTP-Zeitsynchronisierung

Verwenden Sie die folgenden Befehle, um die Synchronisierung für die Appliance-Zeit mit einem NTP-Server zu aktivieren.

Um diese Befehle zu verwenden, stellen Sie Folgendes sicher:

• Der NTP-Server kann über den Management-Port der Appliance erreicht werden
• Sie verwenden denselben NTP-Server, um alle Sensor-Appliances zu synchronisieren

In diesen Befehlen ist dies die IP-Adresse eines gültigen IPv4-NTP-Servers, <IP address> der Port 123 verwendet.

Zum Beispiel für den Admin-Benutzer :

shell> system ntp enable 129.6.15.28

Deaktivieren der NTP-Zeitsynchronisierung

Verwenden Sie die folgenden Befehle, um die Synchronisierung für die Appliance-Zeit mit einem NTP-Server zu deaktivieren.

In diesen Befehlen ist dies die IP-Adresse eines gültigen IPv4-NTP-Servers, <IP address> der Port 123 verwendet.

Zum Beispiel für den Admin-Benutzer :

shell> system ntp disable 129.6.15.28

Sichern und Wiederherstellen

In den folgenden Abschnitten werden die CLI-Befehle beschrieben, die zum Sichern und Wiederherstellen eines System-Snapshots Ihres OT-Netzwerksensors unterstützt werden.

Sicherungsdateien enthalten einen vollständigen Snapshot des Sensorstatus, einschließlich Konfigurationseinstellungen, Basiswerten, Inventardaten und Protokollen.

Starten Sie ein sofortiges, ungeplantes Backup

Verwenden Sie den folgenden Befehl, um eine sofortige, ungeplante Sicherung der Daten auf Ihrem OT-Sensor zu starten. Weitere Informationen finden Sie unter Einrichten von Sicherungs- und Wiederherstellungsdateien.

Zum Beispiel für den Admin-Benutzer :

shell> system backup create
Backing up DATA_KEY
...
...
Finished backup. Backup is stored at /var/cyberx/backups/e2e-xsense-1664469968212-backup-version-22.2.6.318-r-71e6295-2022-09-29_18:29:55.tar
Setting backup status 'SUCCESS' in redis
shell>

Aktuelle Sicherungsdateien auflisten

Verwenden Sie die folgenden Befehle, um die Sicherungsdateien aufzulisten, die derzeit auf Ihrem OT-Netzwerksensor gespeichert sind.

Zum Beispiel für den Admin-Benutzer :

shell> system backup list
backup files:
        e2e-xsense-1664469968212-backup-version-22.3.0.318-r-71e6295-2022-09-29_18:30:20.tar
        e2e-xsense-1664469968212-backup-version-22.3.0.318-r-71e6295-2022-09-29_18:29:55.tar
shell>

Wiederherstellen von Daten aus der letzten Sicherung

Verwenden Sie den folgenden Befehl, um Daten auf Ihrem OT-Netzwerksensor mit der neuesten Sicherungsdatei wiederherzustellen. Wenn Sie dazu aufgefordert werden, bestätigen Sie, dass Sie fortfahren möchten.

Zum Beispiel für den Admin-Benutzer :

shell> system restore
Waiting for redis to start...
Redis is up
Use backup file as "/var/cyberx/backups/e2e-xsense-1664469968212-backup-version-22.2.6.318-r-71e6295-2022-09-29_18:30:20.tar" ? [Y/n]: y
WARNING - the following procedure will restore data. do not stop or power off the server machine while this procedure is running. Are you sure you wish to proceed? [Y/n]: y
...
...
watchdog started
starting components
shell>

Anzeigen der Zuweisung von Backup-Speicherplatz

Der folgende Befehl listet die aktuelle Zuweisung des Sicherungsspeicherplatzes auf, einschließlich der folgenden Details:

• Speicherort des Sicherungsordners
• Größe des Sicherungsordners
• Einschränkungen des Sicherungsordners
• Zeitpunkt des letzten Sicherungsvorgangs
• Freier Speicherplatz für Backups verfügbar

Zum Beispiel für den Admin-Benutzer :

shell> cyberx-backup-memory-check
2.1M    /var/cyberx/backups
Backup limit is: 20Gb
shell>

Lokale Benutzerverwaltung

Ändern lokaler Benutzerkennwörter

Verwenden Sie die folgenden Befehle, um die Kennwörter für lokale Benutzer auf Ihrem OT-Sensor zu ändern. Das neue Passwort muss mindestens 8 Zeichen lang sein und Klein- und Großbuchstaben, alphabetische Zeichen, Zahlen und Symbole enthalten.

Wenn Sie das Kennwort für den Administrator ändern, wird das Kennwort sowohl für den SSH- als auch für den Webzugriff geändert.

Das folgende Beispiel zeigt, wie der Admin-Benutzer das Kennwort ändert. Das neue Passwort wird nicht auf dem Bildschirm angezeigt, wenn Sie es eingeben. Stellen Sie sicher, dass Sie schreiben, um es zu notieren, und stellen Sie sicher, dass es korrekt eingegeben wird, wenn Sie aufgefordert werden, das Passwort erneut einzugeben.

shell>system password user1
Enter New Password for user1: 
Reenter Password:
shell>

Netzwerkkonfiguration

Ändern der Netzwerkkonfiguration oder Neuzuweisen von Netzwerkschnittstellenrollen

Verwenden Sie den folgenden Befehl, um den Konfigurationsassistenten für die OT-Überwachungssoftware erneut auszuführen, mit dessen Hilfe Sie die folgenden OT-Sensoreinstellungen definieren oder neu konfigurieren können:

• Aktivieren/Deaktivieren von SPAN-Überwachungsschnittstellen
• Konfigurieren der Netzwerkeinstellungen für die Verwaltungsschnittstelle (IP, Subnetz, Standardgateway, DNS)
• Zuweisen eines Backup-Verzeichnisses

Zum Beispiel mit dem Admin-Benutzer :

shell> network reconfigure

Der Konfigurationsassistent wird automatisch gestartet, nachdem Sie diesen Befehl ausgeführt haben. Weitere Informationen finden Sie unter Installieren von OT-Überwachungssoftware.

Überprüfen und Anzeigen der Netzwerkschnittstellenkonfiguration

Verwenden Sie die folgenden Befehle, um die aktuelle Netzwerkschnittstellenkonfiguration auf dem OT-Sensor zu validieren und anzuzeigen.

Zum Beispiel für den Admin-Benutzer :

shell> network validate
Success! (Appliance configuration matches the network settings)
Current Network Settings:
interface: eth0
ip: 172.20.248.69
subnet: 255.255.192.0
default gateway: 10.1.0.1
dns: 168.63.129.16
monitor interfaces mapping: local_listener=adiot0
shell>

Überprüfen Sie die Netzwerkverbindung vom OT-Sensor

Verwenden Sie den folgenden Befehl, um eine Ping-Nachricht vom OT-Sensor zu senden.

In diesen Befehlen ist die IP-Adresse eines gültigen IPv4-Netzwerkhosts, <IP address> auf den über den Management-Port Ihres OT-Sensors zugegriffen werden kann.

Suchen eines physischen Ports durch blinkendes Licht der Benutzeroberfläche

Verwenden Sie den folgenden Befehl, um eine bestimmte physische Schnittstelle zu lokalisieren, indem Sie die LEDs der Schnittstelle blinken lassen.

In diesem Befehl befindet sich <INT> ein physischer Ethernet-Port auf der Appliance.

Das folgende Beispiel zeigt, wie der Admin-Benutzer die eth0-Schnittstelle blinken lässt:

shell> network blink eth0
Blinking interface for 20 seconds ...

Auflisten verbundener physischer Schnittstellen

Verwenden Sie den folgenden Befehl, um die angeschlossenen physischen Schnittstellen auf Ihrem OT-Sensor aufzulisten.

Zum Beispiel für den Admin-Benutzer :

shell> network list
adiot0: flags=4419<UP,BROADCAST,RUNNING,PROMISC,MULTICAST>  mtu 4096
        ether be:b1:01:1f:91:88  txqueuelen 1000  (Ethernet)
        RX packets 2589575  bytes 740011013 (740.0 MB)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 1  bytes 90 (90.0 B)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

eth0: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 1500
        inet 172.18.0.2  netmask 255.255.0.0  broadcast 172.18.255.255
        ether 02:42:ac:12:00:02  txqueuelen 0  (Ethernet)
        RX packets 22419372  bytes 5757035946 (5.7 GB)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 23078301  bytes 2544599581 (2.5 GB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

lo: flags=73<UP,LOOPBACK,RUNNING>  mtu 65536
        inet 127.0.0.1  netmask 255.0.0.0
        loop  txqueuelen 1000  (Local Loopback)
        RX packets 837196  bytes 259542408 (259.5 MB)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 837196  bytes 259542408 (259.5 MB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

shell>

Filter zur Erfassung des Datenverkehrs

Um Warnungsermüdung zu reduzieren und Ihre Netzwerküberwachung auf Datenverkehr mit hoher Priorität zu konzentrieren, können Sie den Datenverkehr filtern, der an der Quelle bei Defender for IoT eingeht. Mit Erfassungsfiltern können Sie Datenverkehr mit hoher Bandbreite auf Hardwareebene blockieren und so sowohl die Appliance-Leistung als auch die Ressourcennutzung optimieren.

Verwenden Sie Einschluss- und/oder Ausschlusslisten, um Erfassungsfilter für Ihre OT-Netzwerksensoren zu erstellen und zu konfigurieren, und stellen Sie sicher, dass Sie keinen der zu überwachenden Datenverkehr blockieren.

Der grundlegende Anwendungsfall für Erfassungsfilter verwendet denselben Filter für alle Defender für IoT-Komponenten. Für erweiterte Anwendungsfälle können Sie jedoch separate Filter für jede der folgenden Defender für IoT-Komponenten konfigurieren:

• horizon: Erfasst DPI-Daten (Deep Packet Inspection)
• collector: Erfasst PCAP-Daten
• traffic-monitor: Erfasst Kommunikationsstatistiken

Erstellen eines Basisfilters für alle Komponenten

Die Methode, die zum Konfigurieren eines grundlegenden Erfassungsfilters verwendet wird, unterscheidet sich je nach dem Benutzer, der den Befehl ausführt:

• cyberx-Benutzer : Führen Sie den angegebenen Befehl mit bestimmten Attributen aus, um Ihren Erfassungsfilter zu konfigurieren.
• admin user: Führen Sie den angegebenen Befehl aus, und geben Sie dann die von der CLI angeforderten Werte ein, indem Sie Ihre Ein- und Ausschlusslisten in einem Nano-Editor bearbeiten.

Verwenden Sie die folgenden Befehle, um einen neuen Erfassungsfilter zu erstellen:

Die unterstützten Attribute für den Cyberx-Benutzer sind wie folgt definiert:

Beispiel für eine Ein- oder Ausschlussdatei

Eine Ein- oder Ausschlussdatei .txt kann z. B. die folgenden Einträge enthalten:

192.168.50.10
172.20.248.1

Erstellen eines einfachen Erfassungsfilters mit dem Admin-Benutzer

Wenn Sie einen einfachen Erfassungsfilter als Admin-Benutzer erstellen, werden im ursprünglichen Befehl keine Attribute übergeben. Stattdessen wird eine Reihe von Eingabeaufforderungen angezeigt, mit denen Sie den Erfassungsfilter interaktiv erstellen können.

Beantworten Sie die angezeigten Eingabeaufforderungen wie folgt:

1. Would you like to supply devices and subnet masks you wish to include in the capture filter? [Y/N]:

   Wählen Sie diese Option aus Y , um eine neue Include-Datei zu öffnen, in der Sie ein Gerät, einen Kanal und/oder ein Subnetz hinzufügen können, das Sie in den überwachten Datenverkehr einbeziehen möchten. Anderer Datenverkehr, der nicht in Ihrer Includedatei aufgeführt ist, wird nicht in Defender für IoT erfasst.

   Die Include-Datei wird im Nano-Texteditor geöffnet. Definieren Sie in der Include-Datei Geräte, Kanäle und Subnetze wie folgt:

   Typ	BESCHREIBUNG	Beispiel
   Gerät	Definieren Sie ein Gerät anhand seiner IP-Adresse.	1.1.1.1 Umfasst den gesamten Datenverkehr für dieses Gerät.
   Kanal	Definieren Sie einen Kanal durch die IP-Adressen seiner Quell- und Zielgeräte, getrennt durch ein Komma.	1.1.1.1,2.2.2.2 Enthält den gesamten Traffic für diesen Kanal.
   Subnetz	Definieren Sie ein Subnetz anhand seiner Netzwerkadresse.	1.1.1 Schließt den gesamten Datenverkehr für dieses Subnetz ein.

   Listet mehrere Argumente in separaten Zeilen auf.

2. Would you like to supply devices and subnet masks you wish to exclude from the capture filter? [Y/N]:

   Wählen Sie diese Option aus Y , um eine neue Ausschlussdatei zu öffnen, in der Sie ein Gerät, einen Kanal und/oder ein Subnetz hinzufügen können, das Sie vom überwachten Datenverkehr ausschließen möchten. Alle anderen Datenverkehrs, die nicht in Ihrer Ausschlussdatei aufgeführt sind, werden in Defender für IoT erfasst.

   Die Ausschlussdatei wird im Nano-Texteditor geöffnet. Definieren Sie in der Ausschlussdatei Geräte, Kanäle und Subnetze wie folgt:

   Typ	BESCHREIBUNG	Beispiel
   Gerät	Definieren Sie ein Gerät anhand seiner IP-Adresse.	1.1.1.1 schließt den gesamten Datenverkehr für dieses Gerät aus.
   Kanal	Definieren Sie einen Kanal durch die IP-Adressen seiner Quell- und Zielgeräte, getrennt durch ein Komma.	1.1.1.1,2.2.2.2 schließt den gesamten Datenverkehr zwischen diesen Geräten aus.
   Kanal nach Port	Definieren Sie einen Kanal anhand der IP-Adressen seiner Quell- und Zielgeräte und des Traffic-Ports.	1.1.1.1,2.2.2.2,443 schließt den gesamten Datenverkehr zwischen diesen Geräten und der Verwendung des angegebenen Ports aus.
   Subnetz	Definieren Sie ein Subnetz anhand seiner Netzwerkadresse.	1.1.1 schließt den gesamten Datenverkehr für dieses Subnetz aus.
   Subnetz-Kanal	Definieren Sie die Netzwerkadressen der Subnetzkanäle für die Quell- und Zielsubnetze.	1.1.1,2.2.2 schließt den gesamten Datenverkehr zwischen diesen Subnetzen aus.

   Listet mehrere Argumente in separaten Zeilen auf.

3. Beantworten Sie die folgenden Eingabeaufforderungen, um TCP- oder UDP-Ports zu definieren, die ein- oder ausgeschlossen werden sollen. Trennen Sie mehrere Ports durch Kommas, und drücken Sie die EINGABETASTE, um eine bestimmte Eingabeaufforderung zu überspringen.

   • Enter tcp ports to include (delimited by comma or Enter to skip):
   • Enter udp ports to include (delimited by comma or Enter to skip):
   • Enter tcp ports to exclude (delimited by comma or Enter to skip):
   • Enter udp ports to exclude (delimited by comma or Enter to skip):
   • Enter VLAN ids to include (delimited by comma or Enter to skip):

   Geben Sie beispielsweise mehrere Ports wie folgt ein: 502,443

4. In which component do you wish to apply this capture filter?

   Geben Sie die Eingabetaste all für einen grundlegenden Erfassungsfilter ein. Erstellen Sie für erweiterte Anwendungsfälle Erfassungsfilter für jede Defender für IoT-Komponente separat.

5. Type Y for "internal" otherwise N for "all-connected" (custom operation mode enabled) [Y/N]:

   An dieser Eingabeaufforderung können Sie konfigurieren, welcher Datenverkehr sich im Bereich befindet. Legen Sie fest, ob Sie Datenverkehr erfassen möchten, bei dem sich beide Endpunkte im Gültigkeitsbereich befinden oder nur einer von ihnen sich im angegebenen Subnetz befindet. Unterstützte Werte sind:

   • internal: Umfasst die gesamte Kommunikation zwischen der angegebenen Quelle und dem Ziel.
   • all-connected: Schließt die gesamte Kommunikation zwischen einem der angegebenen Endpunkte und externen Endpunkten ein.

   Wenn Sie z. B. für die Endpunkte A und B den internal Modus verwenden, umfasst der eingeschlossene Datenverkehr nur die Kommunikation zwischen den Endpunkten A und B.
   Wenn Sie jedoch den all-connected Modus verwenden, umfasst der eingeschlossene Datenverkehr die gesamte Kommunikation zwischen A oder B und anderen externen Endpunkten.

   Der Standardmodus ist internal. Um den all-connected Modus zu verwenden, wählen Sie an der Eingabeaufforderung aus Y , und geben Sie all-connecteddann ein.

Das folgende Beispiel zeigt eine Reihe von Eingabeaufforderungen, mit denen ein Erfassungsfilter zum Ausschließen von Subnetz 192.168.x.x und Port erstellt wird 9000:

root@xsense: network capture-filter
Would you like to supply devices and subnet masks you wish to include in the capture filter? [y/N]: n
Would you like to supply devices and subnet masks you wish to exclude from the capture filter? [y/N]: y
You've exited the editor. Would you like to apply your modifications? [y/N]: y
Enter tcp ports to include (delimited by comma or Enter to skip):
Enter udp ports to include (delimited by comma or Enter to skip):
Enter tcp ports to exclude (delimited by comma or Enter to skip):9000
Enter udp ports to exclude (delimited by comma or Enter to skip):9000
Enter VLAN ids to include (delimited by comma or Enter to skip):
In which component do you wish to apply this capture filter?all
Would you like to supply a custom base capture filter for the collector component? [y/N]: n
Would you like to supply a custom base capture filter for the traffic_monitor component? [y/N]: n
Would you like to supply a custom base capture filter for the horizon component? [y/N]: n
type Y for "internal" otherwise N for "all-connected" (custom operation mode enabled) [Y/n]: internal
Please respond with 'yes' or 'no' (or 'y' or 'n').
type Y for "internal" otherwise N for "all-connected" (custom operation mode enabled) [Y/n]: y
starting "/usr/local/bin/cyberx-xsense-capture-filter --exclude /var/cyberx/media/capture-filter/exclude --exclude-tcp-port 9000 --exclude-udp-port 9000 --program all --mode internal --from-shell"
No include file given
Loaded 1 unique channels
(000) ret      #262144
(000) ldh      [12]
......
......
......
debug: set new filter for horizon '(((not (net 192.168))) and (not (tcp port 9000)) and (not (udp port 9000))) or (vlan and ((not (net 192.168))) and (not (tcp port 9000)) and (not (udp port 9000)))'
root@xsense:

Erstellen eines erweiterten Filters für bestimmte Komponenten

Wenn Sie erweiterte Erfassungsfilter für bestimmte Komponenten konfigurieren, können Sie Ihren anfänglichen Einschluss- und Ausschlussdateien als Basis- oder Vorlagen-Erfassungsfilter verwenden. Konfigurieren Sie dann nach Bedarf zusätzliche Filter für jede Komponente auf der Basis.

Um einen Erfassungsfilter für jede Komponente zu erstellen, stellen Sie sicher, dass Sie den gesamten Vorgang für jede Komponente wiederholen.

Die folgenden zusätzlichen Attribute werden für den Cyberx-Benutzer verwendet, um Erfassungsfilter für jede Komponente separat zu erstellen:

Andere Attributwerte haben die gleichen Beschreibungen wie im zuvor beschriebenen grundlegenden Anwendungsfall.

Erstellen eines erweiterten Erfassungsfilters mit dem Admin-Benutzer

Wenn Sie einen Erfassungsfilter für jede Komponente separat als Admin-Benutzer erstellen, werden im ursprünglichen Befehl keine Attribute übergeben. Stattdessen wird eine Reihe von Eingabeaufforderungen angezeigt, mit denen Sie den Erfassungsfilter interaktiv erstellen können.

Die meisten Eingabeaufforderungen sind identisch mit dem grundlegenden Anwendungsfall. Beantworten Sie die folgenden zusätzlichen Eingabeaufforderungen wie folgt:

1. In which component do you wish to apply this capture filter?

   Geben Sie einen der folgenden Werte ein, abhängig von der Komponente, die Sie filtern möchten:

   • horizon
   • traffic-monitor
   • collector

2. Sie werden aufgefordert, einen benutzerdefinierten Basiserfassungsfilter für die ausgewählte Komponente zu konfigurieren. Bei dieser Option wird der Erfassungsfilter, den Sie in den vorherigen Schritten konfiguriert haben, als Basis oder Vorlage verwendet, in der Sie zusätzliche Konfigurationen zusätzlich zur Basis hinzufügen können.

   Wenn Sie z. B. im vorherigen Schritt ausgewählt haben, einen Erfassungsfilter für die collector Komponente zu konfigurieren, werden Sie aufgefordert: Would you like to supply a custom base capture filter for the collector component? [Y/N]:

   Geben Sie diese Option ein Y , um die Vorlage für die angegebene Komponente anzupassen oder N den Erfassungsfilter zu verwenden, den Sie zuvor konfiguriert haben.

Fahren Sie mit den verbleibenden Eingabeaufforderungen wie im grundlegenden Anwendungsfall fort.

Auflisten der aktuellen Erfassungsfilter für bestimmte Komponenten

Verwenden Sie die folgenden Befehle, um Details zu den aktuellen Erfassungsfiltern anzuzeigen, die für Ihren Sensor konfiguriert sind.

Mit diesen Befehlen werden die folgenden Dateien geöffnet, in denen die für jede Komponente konfigurierten Erfassungsfilter aufgelistet sind:

Beispiel: Mit dem Benutzer admin und einem für die Collector-Komponente definierten Erfassungsfilter, der das Subnetz 192.168.x.x und den Port 9000 ausschließt:

root@xsense: edit-config dumpark.properties
  GNU nano 2.9.3                      /tmp/tmpevt4igo7/tmpevt4igo7

dumpark.network.filter=(((not (net 192.168))) and (not (tcp port 9000)) and (not
dumpark.network.snaplen=4096
dumpark.packet.filter.data.transfer=false
dumpark.infinite=true
dumpark.output.session=false
dumpark.output.single=false
dumpark.output.raw=true
dumpark.output.rotate=true
dumpark.output.rotate.history=300
dumpark.output.size=20M
dumpark.output.time=30S

Alle Erfassungsfilter zurücksetzen

Verwenden Sie den folgenden Befehl, um Ihren Sensor auf die Standard-Erfassungskonfiguration mit dem Cyberx-Benutzer zurückzusetzen und alle Erfassungsfilter zu entfernen.

Wenn Sie die vorhandenen Erfassungsfilter ändern möchten, führen Sie den vorherigen Befehl mit neuen Attributwerten erneut aus.

Um alle Erfassungsfilter mit dem Admin-Benutzer zurückzusetzen, führen Sie den vorherigen Befehl erneut aus, und antworten Sie N auf alle Eingabeaufforderungen, um alle Erfassungsfilter zurückzusetzen.

Das folgende Beispiel zeigt die Befehlssyntax und -antwort für den cyberx-Benutzer :

root@xsense:/#  cyberx-xsense-capture-filter -p all -m all-connected
starting "/usr/local/bin/cyberx-xsense-capture-filter -p all -m all-connected"
No include file given
No exclude file given
(000) ret      #262144
(000) ret      #262144
debug: set new filter for dumpark ''
No include file given
No exclude file given
(000) ret      #262144
(000) ret      #262144
debug: set new filter for traffic-monitor ''
No include file given
No exclude file given
(000) ret      #262144
(000) ret      #262144
debug: set new filter for horizon ''
root@xsense:/#

Nächste Schritte