Dokumentacja poleceń interfejsu wiersza polecenia z czujników sieci OT

W tym artykule wymieniono polecenia interfejsu wiersza polecenia dostępne w czujnikach sieciowych usługi Defender for IoT OT.

Wymagania wstępne

Aby można było uruchomić dowolne z następujących poleceń interfejsu wiersza polecenia, musisz mieć dostęp do interfejsu wiersza polecenia w czujniku sieci OT jako użytkownik uprzywilejowany.

Chociaż w tym artykule wymieniono składnię polecenia dla każdego użytkownika, zalecamy użycie użytkownika admin dla wszystkich poleceń interfejsu wiersza polecenia, w których użytkownik administracyjny jest obsługiwany.

Aby uzyskać więcej informacji, zobacz Uzyskiwanie dostępu do interfejsu wiersza polecenia i Uprzywilejowany dostęp użytkowników do monitorowania OT.

Lista dostępnych poleceń

Wyświetlanie listy poleceń w kategorii

Aby wyświetlić listę poleceń w kategorii, wpisz help. Przykład:

shell> help
config:
network:
system:

shell> help system
backup:
date:
ntp:

Polecenia na poziomie powłoki i kategorii

Polecenia można wpisywać na poziomie powłoki lub kategorii.

Na poziomie powłoki wpisz: <parametr> polecenia<>kategorii<>.

Możesz też wpisać kategorię <> i nacisnąć ENTER. Powłoka zmieni nazwę na nazwę kategorii, a następnie wpisz <parametr> polecenia<>. Przykład:

shell> system ntp enable 10.0.0.1
Starting ntp-enable 10.0.0.1
.....
Finished ntp-enable

shell> system
system> ntp enable 10.0.0.1
Starting ntp-enable 10.0.0.1
.....
Finished ntp-enable

Konserwacja urządzenia

Sprawdzanie kondycji usług monitorowania OT

Użyj następujących poleceń, aby sprawdzić, czy aplikacja Defender for IoT na czujniku OT działa poprawnie, w tym konsola internetowa i procesy analizy ruchu.

Kontrole kondycji są również dostępne w konsoli czujnika OT. Aby uzyskać więcej informacji, zobacz Rozwiązywanie problemów z czujnikiem.

W poniższym przykładzie przedstawiono składnię polecenia i odpowiedź dla użytkownika administratora :

shell> system sanity
[+] C-Cabra Engine | Running for 17:26:30.191945
[+] Cache Layer | Running for 17:26:32.352745
[+] Core API | Running for 17:26:28
[+] Health Monitor | Running for 17:26:28
[+] Horizon Agent 1 | Running for 17:26:27
[+] Horizon Parser | Running for 17:26:30.183145
[+] Network Processor | Running for 17:26:27
[+] Persistence Layer | Running for 17:26:33.577045
[+] Profiling Service | Running for 17:26:34.105745
[+] Traffic Monitor | Running for 17:26:30.345145
[+] Upload Manager Service | Running for 17:26:31.514645
[+] Watch Dog | Running for 17:26:30
[+] Web Apps | Running for 17:26:30

System is UP! (medium)

Ponowne uruchamianie urządzenia

Użyj następujących poleceń, aby ponownie uruchomić urządzenie czujnika OT.

Na przykład dla użytkownika admin :

shell> system reboot

Wyłącz urządzenie

Użyj następujących poleceń, aby zamknąć urządzenie czujnika OT.

Na przykład dla użytkownika admin :

shell> system shutdown

Pokaż zainstalowaną wersję oprogramowania

Użyj następujących poleceń, aby wyświetlić listę wersji oprogramowania usługi Defender for IoT zainstalowanej w czujniku OT.

Na przykład dla użytkownika admin :

shell> system version
Version: 22.2.5.9-r-2121448

Pokaż aktualną datę/godzinę systemową

Użyj następujących poleceń, aby wyświetlić bieżącą datę i godzinę systemową w czujniku sieci OT w formacie GMT.

Na przykład dla użytkownika admin :

shell> system date
Thu Sep 29 18:38:23 UTC 2022
shell>

Włącz synchronizację czasu NTP

Użyj następujących poleceń, aby włączyć synchronizację dla czasu urządzenia z serwerem NTP.

Aby użyć tych poleceń, upewnij się, że:

• Dostęp do serwera NTP można uzyskać z portu zarządzania urządzeniem
• Używasz tego samego serwera NTP do synchronizowania wszystkich urządzeń czujników

W tych poleceniach <IP address> jest adresem IP prawidłowego serwera NTP IPv4 korzystającego z portu 123.

Na przykład dla użytkownika admin :

shell> system ntp enable 129.6.15.28

Wyłącz synchronizację czasu NTP

Użyj następujących poleceń, aby wyłączyć synchronizację dla czasu urządzenia z serwerem NTP.

W tych poleceniach <IP address> jest adresem IP prawidłowego serwera NTP IPv4 korzystającego z portu 123.

Na przykład dla użytkownika admin :

shell> system ntp disable 129.6.15.28

Tworzenie kopii zapasowej i przywracanie

W poniższych sekcjach opisano polecenia interfejsu wiersza polecenia obsługiwane do tworzenia kopii zapasowych i przywracania migawki systemu czujnika sieci OT.

Pliki kopii zapasowych zawierają pełną migawkę stanu czujnika, w tym ustawienia konfiguracji, wartości punktu odniesienia, dane spisu i dzienniki.

Rozpoczynanie natychmiastowego, nieplanowanego tworzenia kopii zapasowej

Użyj następującego polecenia, aby rozpocząć natychmiastową, niezaplanowaną kopię zapasową danych w czujniku OT. Aby uzyskać więcej informacji, zobacz Konfigurowanie kopii zapasowych i przywracania plików.

Na przykład dla użytkownika admin :

shell> system backup create
Backing up DATA_KEY
...
...
Finished backup. Backup is stored at /var/cyberx/backups/e2e-xsense-1664469968212-backup-version-22.2.6.318-r-71e6295-2022-09-29_18:29:55.tar
Setting backup status 'SUCCESS' in redis
shell>

Wyświetlanie listy bieżących plików kopii zapasowych

Użyj następujących poleceń, aby wyświetlić listę plików kopii zapasowych aktualnie przechowywanych w czujniku sieci OT.

Na przykład dla użytkownika admin :

shell> system backup list
backup files:
        e2e-xsense-1664469968212-backup-version-22.3.0.318-r-71e6295-2022-09-29_18:30:20.tar
        e2e-xsense-1664469968212-backup-version-22.3.0.318-r-71e6295-2022-09-29_18:29:55.tar
shell>

Przywróć dane z najnowszej kopii zapasowej

Użyj następującego polecenia, aby przywrócić dane w czujniku sieci OT przy użyciu najnowszego pliku kopii zapasowej. Po wyświetleniu monitu potwierdź, że chcesz kontynuować.

Na przykład dla użytkownika admin :

shell> system restore
Waiting for redis to start...
Redis is up
Use backup file as "/var/cyberx/backups/e2e-xsense-1664469968212-backup-version-22.2.6.318-r-71e6295-2022-09-29_18:30:20.tar" ? [Y/n]: y
WARNING - the following procedure will restore data. do not stop or power off the server machine while this procedure is running. Are you sure you wish to proceed? [Y/n]: y
...
...
watchdog started
starting components
shell>

Wyświetlanie alokacji miejsca na dysku kopii zapasowej

Następujące polecenie wyświetla bieżącą alokację miejsca na dysku kopii zapasowej, w tym następujące szczegóły:

• Lokalizacja folderu kopii zapasowej
• Rozmiar folderu kopii zapasowej
• Ograniczenia folderu kopii zapasowej
• Czas ostatniej operacji tworzenia kopii zapasowej
• Wolne miejsce na dysku dostępne do tworzenia kopii zapasowych

Na przykład dla użytkownika admin :

shell> cyberx-backup-memory-check
2.1M    /var/cyberx/backups
Backup limit is: 20Gb
shell>

Zarządzanie użytkownikami lokalnymi

Zmienianie haseł użytkowników lokalnych

Użyj następujących poleceń, aby zmienić hasła dla użytkowników lokalnych w czujniku OT. Nowe hasło musi składać się z co najmniej 8 znaków, zawierać małe i wielkie litery, znaki alfabetu, cyfry i symbole.

Po zmianie hasła administratora hasło zostanie zmienione zarówno dla protokołu SSH, jak i dostępu internetowego.

W poniższym przykładzie pokazano , jak użytkownik admin zmienia hasło. Nowe hasło nie pojawia się na ekranie po jego wpisaniu, pamiętaj, aby je zanotować i upewnij się, że zostało poprawnie wpisane, gdy zostaniesz poproszony o ponowne wprowadzenie hasła.

shell>system password user1
Enter New Password for user1: 
Reenter Password:
shell>

Konfiguracja sieci

Zmienianie konfiguracji sieci lub ponowne przypisywanie ról interfejsu sieciowego

Użyj następującego polecenia, aby ponownie uruchomić kreatora konfiguracji oprogramowania do monitorowania OT, który pomaga zdefiniować lub ponownie skonfigurować następujące ustawienia czujnika OT:

• Włączanie/wyłączanie interfejsów monitorowania SPAN
• Konfigurowanie ustawień sieciowych interfejsu zarządzania (IP, podsieć, brama domyślna, DNS)
• Przypisywanie katalogu kopii zapasowej

Na przykład z użytkownikiem admin :

shell> network reconfigure

Kreator konfiguracji jest uruchamiany automatycznie po uruchomieniu tego polecenia. Aby uzyskać więcej informacji, zobacz Instalowanie oprogramowania do monitorowania OT.

Weryfikowanie i pokazywanie konfiguracji interfejsu sieciowego

Użyj następujących poleceń, aby zweryfikować i wyświetlić bieżącą konfigurację interfejsu sieciowego w czujniku OT.

Na przykład dla użytkownika admin :

shell> network validate
Success! (Appliance configuration matches the network settings)
Current Network Settings:
interface: eth0
ip: 172.20.248.69
subnet: 255.255.192.0
default gateway: 10.1.0.1
dns: 168.63.129.16
monitor interfaces mapping: local_listener=adiot0
shell>

Sprawdź łączność sieciową z czujnika OT

Użyj następującego polecenia, aby wysłać komunikat ping z czujnika OT.

W tych poleceniach <IP address> jest adresem IP prawidłowego hosta sieciowego IPv4 dostępnego z portu zarządzania w czujniku OT.

Zlokalizuj port fizyczny, kontrolkami interfejsu

Użyj następującego polecenia, aby zlokalizować określony interfejs fizyczny, powodując kontrolek interfejsu.

W tym poleceniu <INT> jest fizycznym portem Ethernet w urządzeniu.

Poniższy przykład pokazuje, jak admin użytkownik mruga interfejsem eth0 :

shell> network blink eth0
Blinking interface for 20 seconds ...

Wyświetlanie listy podłączonych interfejsów fizycznych

Użyj następującego polecenia, aby wyświetlić listę połączonych interfejsów fizycznych w czujniku OT.

Na przykład dla użytkownika admin :

shell> network list
adiot0: flags=4419<UP,BROADCAST,RUNNING,PROMISC,MULTICAST>  mtu 4096
        ether be:b1:01:1f:91:88  txqueuelen 1000  (Ethernet)
        RX packets 2589575  bytes 740011013 (740.0 MB)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 1  bytes 90 (90.0 B)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

eth0: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 1500
        inet 172.18.0.2  netmask 255.255.0.0  broadcast 172.18.255.255
        ether 02:42:ac:12:00:02  txqueuelen 0  (Ethernet)
        RX packets 22419372  bytes 5757035946 (5.7 GB)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 23078301  bytes 2544599581 (2.5 GB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

lo: flags=73<UP,LOOPBACK,RUNNING>  mtu 65536
        inet 127.0.0.1  netmask 255.0.0.0
        loop  txqueuelen 1000  (Local Loopback)
        RX packets 837196  bytes 259542408 (259.5 MB)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 837196  bytes 259542408 (259.5 MB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

shell>

Filtry przechwytywania ruchu

Aby zmniejszyć zmęczenie alertami i skoncentrować monitorowanie sieci na ruchu o wysokim priorytcie, możesz zdecydować się na filtrowanie ruchu przesyłanego strumieniowo do usługi Defender dla IoT w źródle. Filtry przechwytywania umożliwiają blokowanie ruchu o dużej przepustowości w warstwie sprzętowej, optymalizując zarówno wydajność urządzenia, jak i użycie zasobów.

Użyj list dołączania i/lub wykluczania, aby tworzyć i konfigurować filtry przechwytywania w czujnikach sieci OT, upewniając się, że nie blokujesz żadnego ruchu, który chcesz monitorować.

Podstawowy przypadek użycia filtrów przechwytywania używa tego samego filtru dla wszystkich składników usługi Defender dla IoT. Jednak w przypadku zaawansowanych przypadków użycia można skonfigurować oddzielne filtry dla każdego z następujących składników usługi Defender for IoT:

• horizon: Przechwytuje dane głębokiej inspekcji pakietów (DPI)
• collector: Przechwytuje dane PCAP
• traffic-monitor: Przechwytuje statystyki komunikacji

Tworzenie filtru podstawowego dla wszystkich składników

Metoda używana do konfigurowania podstawowego filtru przechwytywania różni się w zależności od użytkownika wykonującego polecenie:

• cyberx user: Uruchom określone polecenie z określonymi atrybutami, aby skonfigurować filtr przechwytywania.
• admin user: Uruchom określone polecenie, a następnie wprowadź wartości zgodnie z monitem interfejsu wiersza polecenia, edytując listy dołączania i wykluczania w edytorze nano.

Użyj następujących poleceń, aby utworzyć nowy filtr przechwytywania:

Obsługiwane atrybuty użytkownika cyberx są zdefiniowane w następujący sposób:

Przykładowy plik dołączania lub wykluczania

Na przykład plik dołączania lub wykluczania.txtmoże zawierać następujące wpisy:

192.168.50.10
172.20.248.1

Tworzenie podstawowego filtru przechwytywania przy użyciu użytkownika admin

Jeśli tworzysz podstawowy filtr przechwytywania jako użytkownik administrator , żadne atrybuty nie są przekazywane w oryginalnym poleceniu. Zamiast tego wyświetlana jest seria monitów ułatwiających interaktywne tworzenie filtru przechwytywania.

Odpowiedz na wyświetlane monity w następujący sposób:

1. Would you like to supply devices and subnet masks you wish to include in the capture filter? [Y/N]:

   Zaznacz Y , aby otworzyć nowy plik dołączany, w którym można dodać urządzenie, kanał i/lub podsieć, które mają być uwzględniane w monitorowanym ruchu. Wszelki inny ruch, który nie jest wymieniony w pliku dołączanym, nie jest pozyskiwany do usługi Defender dla IoT.

   Plik dołączany jest otwierany w edytorze tekstu Nano . W pliku dołączanym zdefiniuj urządzenia, kanały i podsieci w następujący sposób:

   Typ	Opis	Przykład
   Urządzenie	Zdefiniuj urządzenie według jego adresu IP.	1.1.1.1 Obejmuje cały ruch związany z tym urządzeniem.
   Kanał	Zdefiniuj kanał na podstawie adresów IP jego urządzeń źródłowych i docelowych, oddzielonych przecinkami.	1.1.1.1,2.2.2.2 Obejmuje cały ruch związany z tym kanałem.
   podsieć	Zdefiniuj podsieć według jej adresu sieciowego.	1.1.1 Obejmuje cały ruch dla tej podsieci.

   Wymień wiele argumentów w osobnych wierszach.

2. Would you like to supply devices and subnet masks you wish to exclude from the capture filter? [Y/N]:

   Zaznacz Y , aby otworzyć nowy plik wykluczenia, w którym możesz dodać urządzenie, kanał i/lub podsieć, które chcesz wykluczyć z monitorowanego ruchu. Każdy inny ruch, który nie jest wymieniony w pliku wykluczenia, jest pozyskiwany do usługi Defender dla IoT.

   Plik wykluczenia jest otwierany w edytorze tekstu Nano . W pliku wykluczeń zdefiniuj urządzenia, kanały i podsieci w następujący sposób:

   Typ	Opis	Przykład
   Urządzenie	Zdefiniuj urządzenie według jego adresu IP.	1.1.1.1 Wyklucza cały ruch związany z tym urządzeniem.
   Kanał	Zdefiniuj kanał na podstawie adresów IP jego urządzeń źródłowych i docelowych, oddzielonych przecinkami.	1.1.1.1,2.2.2.2 Wyklucza cały ruch między tymi urządzeniami.
   Kanał po porcie	Zdefiniuj kanał na podstawie adresów IP jego urządzeń źródłowych i docelowych oraz portu ruchu.	1.1.1.1,2.2.2.2,443 Wyklucza cały ruch między tymi urządzeniami i korzystający z określonego portu.
   podsieć	Zdefiniuj podsieć według jej adresu sieciowego.	1.1.1 Wyklucza cały ruch dla tej podsieci.
   Kanał podsieci	Zdefiniuj adresy sieciowe kanału podsieci dla podsieci źródłowej i docelowej.	1.1.1,2.2.2 Wyklucza cały ruch między tymi podsieciami.

   Wymień wiele argumentów w osobnych wierszach.

3. Odpowiedz na poniższe monity, aby zdefiniować wszystkie porty TCP lub UDP, które mają być uwzględniane lub wykluczane. Oddziel wiele portów przecinkami i naciśnij ENTER, aby pominąć dowolny określony monit.

   • Enter tcp ports to include (delimited by comma or Enter to skip):
   • Enter udp ports to include (delimited by comma or Enter to skip):
   • Enter tcp ports to exclude (delimited by comma or Enter to skip):
   • Enter udp ports to exclude (delimited by comma or Enter to skip):
   • Enter VLAN ids to include (delimited by comma or Enter to skip):

   Na przykład wprowadź wiele portów w następujący sposób: 502,443

4. In which component do you wish to apply this capture filter?

   Wprowadź all podstawowy filtr przechwytywania. W przypadku zaawansowanych przypadków użycia utwórz filtry przechwytywania dla każdego składnika usługi Defender dla IoT oddzielnie.

5. Type Y for "internal" otherwise N for "all-connected" (custom operation mode enabled) [Y/N]:

   Ten monit umożliwia skonfigurowanie, który ruch znajduje się w zakresie. Określ, czy chcesz zbierać ruch, w którym oba punkty końcowe znajdują się w zakresie, czy tylko jeden z nich znajduje się w określonej podsieci. Obsługiwane wartości to:

   • internal: Obejmuje całą komunikację między określonym źródłem a miejscem docelowym
   • all-connected: Obejmuje całą komunikację między jednym z określonych punktów końcowych a zewnętrznymi punktami końcowymi.

   Na przykład w przypadku punktów końcowych A i B, jeśli używasz internal tego trybu, uwzględniony ruch będzie obejmował tylko komunikację między punktami końcowymi A i B.
   Jeśli jednak używasz tego all-connected trybu, uwzględniony ruch będzie obejmował całą komunikację między A lub B a innymi, zewnętrznymi punktami końcowymi.

   Tryb domyślny to internal. Aby użyć tego trybu all-connected , wybierz Y pozycję po wyświetleniu monitu, a następnie wprowadź all-connected.

W poniższym przykładzie przedstawiono serię monitów, które tworzą filtr przechwytywania w celu wykluczenia podsieci 192.168.x.x i portu 9000:

root@xsense: network capture-filter
Would you like to supply devices and subnet masks you wish to include in the capture filter? [y/N]: n
Would you like to supply devices and subnet masks you wish to exclude from the capture filter? [y/N]: y
You've exited the editor. Would you like to apply your modifications? [y/N]: y
Enter tcp ports to include (delimited by comma or Enter to skip):
Enter udp ports to include (delimited by comma or Enter to skip):
Enter tcp ports to exclude (delimited by comma or Enter to skip):9000
Enter udp ports to exclude (delimited by comma or Enter to skip):9000
Enter VLAN ids to include (delimited by comma or Enter to skip):
In which component do you wish to apply this capture filter?all
Would you like to supply a custom base capture filter for the collector component? [y/N]: n
Would you like to supply a custom base capture filter for the traffic_monitor component? [y/N]: n
Would you like to supply a custom base capture filter for the horizon component? [y/N]: n
type Y for "internal" otherwise N for "all-connected" (custom operation mode enabled) [Y/n]: internal
Please respond with 'yes' or 'no' (or 'y' or 'n').
type Y for "internal" otherwise N for "all-connected" (custom operation mode enabled) [Y/n]: y
starting "/usr/local/bin/cyberx-xsense-capture-filter --exclude /var/cyberx/media/capture-filter/exclude --exclude-tcp-port 9000 --exclude-udp-port 9000 --program all --mode internal --from-shell"
No include file given
Loaded 1 unique channels
(000) ret      #262144
(000) ldh      [12]
......
......
......
debug: set new filter for horizon '(((not (net 192.168))) and (not (tcp port 9000)) and (not (udp port 9000))) or (vlan and ((not (net 192.168))) and (not (tcp port 9000)) and (not (udp port 9000)))'
root@xsense:

Tworzenie filtru zaawansowanego dla określonych komponentów

Podczas konfigurowania zaawansowanych filtrów przechwytywania dla określonych składników można użyć początkowych plików dołączania i wykluczania jako podstawowego lub szablonowego filtru przechwytywania. Następnie w razie potrzeby skonfiguruj dodatkowe filtry dla każdego komponentu na górze podstawy.

Aby utworzyć filtr przechwytywania dla każdego składnika, należy powtórzyć cały proces dla każdego składnika.

Następujące dodatkowe atrybuty są używane przez użytkownika cyberx do tworzenia filtrów przechwytywania dla każdego składnika oddzielnie:

Inne wartości atrybutów mają takie same opisy, jak w podstawowym przypadku użycia, opisanym wcześniej.

Tworzenie zaawansowanego filtru przechwytywania przy użyciu administratora

Jeśli tworzysz filtr przechwytywania dla każdego składnika osobno jako użytkownik administrator , żadne atrybuty nie są przekazywane w oryginalnym poleceniu. Zamiast tego wyświetlana jest seria monitów ułatwiających interaktywne tworzenie filtru przechwytywania.

Większość monitów jest identyczna z podstawowym przypadkiem użycia. Odpowiedz na następujące dodatkowe monity w następujący sposób:

1. In which component do you wish to apply this capture filter?

   Wprowadź jedną z następujących wartości, w zależności od składnika, który chcesz filtrować:

   • horizon
   • traffic-monitor
   • collector

2. Zostanie wyświetlony monit o skonfigurowanie niestandardowego filtru przechwytywania bazy dla wybranego składnika. Ta opcja używa filtru przechwytywania skonfigurowanego w poprzednich krokach jako bazy lub szablonu, w którym można dodać dodatkowe konfiguracje na podstawie.

   Jeśli na przykład w poprzednim kroku wybrano opcję skonfigurowania filtru przechwytywania dla składnika collector , zostanie wyświetlony monit: Would you like to supply a custom base capture filter for the collector component? [Y/N]:

   Wprowadź Enter Y , aby dostosować szablon dla określonego składnika lub N użyć skonfigurowanego wcześniej filtru przechwytywania.

Kontynuuj z pozostałymi monitami, tak jak w podstawowym przypadku użycia.

Wyświetlanie listy bieżących filtrów przechwytywania dla określonych składników

Użyj poniższych poleceń, aby wyświetlić szczegółowe informacje o bieżących filtrach przechwytywania skonfigurowanych dla czujnika.

Te polecenia otwierają następujące pliki, które zawierają listę filtrów przechwytywania skonfigurowanych dla każdego składnika:

Na przykład z użytkownikiem admin z filtrem przechwytywania zdefiniowanym dla składnika modułu zbierającego , który wyklucza podsieć 192.168.x.x i port 9000:

root@xsense: edit-config dumpark.properties
  GNU nano 2.9.3                      /tmp/tmpevt4igo7/tmpevt4igo7

dumpark.network.filter=(((not (net 192.168))) and (not (tcp port 9000)) and (not
dumpark.network.snaplen=4096
dumpark.packet.filter.data.transfer=false
dumpark.infinite=true
dumpark.output.session=false
dumpark.output.single=false
dumpark.output.raw=true
dumpark.output.rotate=true
dumpark.output.rotate.history=300
dumpark.output.size=20M
dumpark.output.time=30S

Zresetuj wszystkie filtry przechwytywania

Użyj następującego polecenia, aby zresetować czujnik do domyślnej konfiguracji przechwytywania za pomocą użytkownika cyberx , usuwając wszystkie filtry przechwytywania.

Jeśli chcesz zmodyfikować istniejące filtry przechwytywania, uruchom ponownie wcześniejsze polecenie z nowymi wartościami atrybutów.

Aby zresetować wszystkie filtry przechwytywania przy użyciu użytkownika administratora , uruchom ponownie wcześniejsze polecenie i odpowiedz N na wszystkie monity, aby zresetować wszystkie filtry przechwytywania.

W poniższym przykładzie przedstawiono składnię polecenia i odpowiedź dla użytkownika cyberx :

root@xsense:/#  cyberx-xsense-capture-filter -p all -m all-connected
starting "/usr/local/bin/cyberx-xsense-capture-filter -p all -m all-connected"
No include file given
No exclude file given
(000) ret      #262144
(000) ret      #262144
debug: set new filter for dumpark ''
No include file given
No exclude file given
(000) ret      #262144
(000) ret      #262144
debug: set new filter for traffic-monitor ''
No include file given
No exclude file given
(000) ret      #262144
(000) ret      #262144
debug: set new filter for horizon ''
root@xsense:/#

Dalsze kroki