Referensi perintah CLI dari sensor jaringan OT

Artikel ini mencantumkan perintah CLI yang tersedia dari sensor jaringan Defender for IoT OT.

Prasyarat

Sebelum dapat menjalankan salah satu perintah CLI berikut, Anda memerlukan akses ke CLI pada sensor jaringan OT Anda sebagai pengguna istimewa.

Meskipun artikel ini mencantumkan sintaks perintah untuk setiap pengguna, sebaiknya gunakan pengguna admin untuk semua perintah CLI tempat pengguna admin didukung.

Untuk informasi selengkapnya, lihat Mengakses akses pengguna CLI dan Istimewa untuk pemantauan OT.

Pemeliharaan appliance

Periksa kesehatan layanan pemantauan OT

Gunakan perintah berikut untuk memverifikasi bahwa aplikasi Defender for IoT pada sensor OT berfungsi dengan benar, termasuk konsol web dan proses analisis lalu lintas.

Pemeriksaan kesehatan juga tersedia dari konsol sensor OT. Untuk informasi selengkapnya, lihat Memecahkan masalah sensor.

Pengguna	Perintah	Sintaks perintah penuh
admin	system sanity	Tidak ada atribut
cyberx, atau admin dengan akses root	cyberx-xsense-sanity	Tidak ada atribut

Contoh berikut menunjukkan sintaks perintah dan respons untuk pengguna admin :

shell> system sanity
[+] C-Cabra Engine | Running for 17:26:30.191945
[+] Cache Layer | Running for 17:26:32.352745
[+] Core API | Running for 17:26:28
[+] Health Monitor | Running for 17:26:28
[+] Horizon Agent 1 | Running for 17:26:27
[+] Horizon Parser | Running for 17:26:30.183145
[+] Network Processor | Running for 17:26:27
[+] Persistence Layer | Running for 17:26:33.577045
[+] Profiling Service | Running for 17:26:34.105745
[+] Traffic Monitor | Running for 17:26:30.345145
[+] Upload Manager Service | Running for 17:26:31.514645
[+] Watch Dog | Running for 17:26:30
[+] Web Apps | Running for 17:26:30

System is UP! (medium)

Menghidupkan ulang appliance

Gunakan perintah berikut untuk menghidupkan ulang appliance sensor OT.

Pengguna	Perintah	Sintaks perintah penuh
admin	system reboot	Tidak ada atribut
cyberx_host , atau admin dengan akses root	sudo reboot	Tidak ada atribut

Misalnya, untuk pengguna admin :

shell> system reboot

Mematikan appliance

Gunakan perintah berikut untuk mematikan appliance sensor OT.

Pengguna	Perintah	Sintaks perintah penuh
admin	system shutdown	Tidak ada atribut
cyberx_host, atau admin dengan akses root	sudo shutdown -r now	Tidak ada atribut

Misalnya, untuk pengguna admin :

shell> system shutdown

Tampilkan versi perangkat lunak yang terinstal

Gunakan perintah berikut untuk mencantumkan versi perangkat lunak Defender for IoT yang diinstal pada sensor OT Anda.

Pengguna	Perintah	Sintaks perintah penuh
admin	system version	Tidak ada atribut
cyberx , atau admin dengan akses root	cyberx-xsense-version	Tidak ada atribut

Misalnya, untuk pengguna admin :

shell> system version
Version: 22.2.5.9-r-2121448

Perlihatkan tanggal/waktu sistem saat ini

Gunakan perintah berikut untuk menampilkan tanggal dan waktu sistem saat ini pada sensor jaringan OT Anda, dalam format GMT.

Pengguna	Perintah	Sintaks perintah penuh
admin	date	Tidak ada atribut
cyberx , atau admin dengan akses root	date	Tidak ada atribut
cyberx_host , atau admin dengan akses root	date	Tidak ada atribut

Misalnya, untuk pengguna admin :

shell> date
Thu Sep 29 18:38:23 UTC 2022
shell>

Mengaktifkan sinkronisasi waktu NTP

Gunakan perintah berikut untuk mengaktifkan sinkronisasi untuk waktu appliance dengan server NTP.

Untuk menggunakan perintah ini, pastikan bahwa:

• Server NTP dapat dijangkau dari port manajemen appliance
• Anda menggunakan server NTP yang sama untuk menyinkronkan semua appliance sensor

Pengguna	Perintah	Sintaks perintah penuh
admin	ntp enable <IP address>	Tidak ada atribut
cyberx , atau admin dengan akses root	cyberx-xsense-ntp-enable <IP address>	Tidak ada atribut

Dalam perintah ini, <IP address> adalah alamat IP server NTP IPv4 yang valid menggunakan port 123.

Misalnya, untuk pengguna admin :

shell> ntp enable 129.6.15.28
shell>

Menonaktifkan sinkronisasi waktu NTP

Gunakan perintah berikut untuk menonaktifkan sinkronisasi untuk waktu appliance dengan server NTP.

Pengguna	Perintah	Sintaks perintah penuh
admin	ntp disable <IP address>	Tidak ada atribut
cyberx , atau admin dengan akses root	cyberx-xsense-ntp-disable <IP address>	Tidak ada atribut

Dalam perintah ini, <IP address> adalah alamat IP server NTP IPv4 yang valid menggunakan port 123.

Misalnya, untuk pengguna admin :

shell> ntp disable 129.6.15.28
shell>

Pencadangan dan pemulihan

Bagian berikut menjelaskan perintah CLI yang didukung untuk mencadangkan dan memulihkan rekam jepret sistem sensor jaringan OT Anda.

File cadangan mencakup rekam jepret lengkap status sensor, termasuk pengaturan konfigurasi, nilai garis besar, data inventori, dan log.

Memulai pencadangan segera dan tidak terjadwal

Gunakan perintah berikut untuk memulai pencadangan data yang segera dan tidak terjadwal pada sensor OT Anda. Untuk informasi selengkapnya, lihat Menyiapkan file pencadangan dan pemulihan.

Pengguna	Perintah	Sintaks perintah penuh
admin	system backup create	Tidak ada atribut
cyberx , atau admin dengan akses root	cyberx-xsense-system-backup	Tidak ada atribut

Misalnya, untuk pengguna admin :

shell> system backup create
Backing up DATA_KEY
...
...
Finished backup. Backup is stored at /var/cyberx/backups/e2e-xsense-1664469968212-backup-version-22.2.6.318-r-71e6295-2022-09-29_18:29:55.tar
Setting backup status 'SUCCESS' in redis
shell>

Mencantumkan file cadangan saat ini

Gunakan perintah berikut untuk mencantumkan file cadangan yang saat ini disimpan di sensor jaringan OT Anda.

Pengguna	Perintah	Sintaks perintah penuh
admin	system backup list	Tidak ada atribut
cyberx , atau admin dengan akses root	cyberx-xsense-system-backup-list	Tidak ada atribut

Misalnya, untuk pengguna admin :

shell> system backup list
backup files:
        e2e-xsense-1664469968212-backup-version-22.3.0.318-r-71e6295-2022-09-29_18:30:20.tar
        e2e-xsense-1664469968212-backup-version-22.3.0.318-r-71e6295-2022-09-29_18:29:55.tar
shell>

Memulihkan data dari cadangan terbaru

Gunakan perintah berikut untuk memulihkan data pada sensor jaringan OT Anda menggunakan file cadangan terbaru. Saat diminta, konfirmasikan bahwa Anda ingin melanjutkan.

Pengguna	Perintah	Sintaks perintah penuh
admin	system restore	Tidak ada atribut
cyberx, atau admin dengan akses root	cyberx-xsense-system-restore	-f <filename>

Misalnya, untuk pengguna admin :

shell> system restore
Waiting for redis to start...
Redis is up
Use backup file as "/var/cyberx/backups/e2e-xsense-1664469968212-backup-version-22.2.6.318-r-71e6295-2022-09-29_18:30:20.tar" ? [Y/n]: y
WARNING - the following procedure will restore data. do not stop or power off the server machine while this procedure is running. Are you sure you wish to proceed? [Y/n]: y
...
...
watchdog started
starting components
shell>

Menampilkan alokasi ruang disk cadangan

Perintah berikut mencantumkan alokasi ruang disk cadangan saat ini, termasuk detail berikut:

• Lokasi folder cadangan
• Ukuran folder cadangan
• Batasan folder cadangan
• Waktu operasi pencadangan terakhir
• Ruang disk kosong tersedia untuk cadangan

Pengguna	Perintah	Sintaks perintah penuh
admin	cyberx-backup-memory-check	Tidak ada atribut

Misalnya, untuk pengguna admin :

shell> cyberx-backup-memory-check
2.1M    /var/cyberx/backups
Backup limit is: 20Gb
shell>

Manajemen pengguna lokal

Mengubah kata sandi pengguna lokal

Gunakan perintah berikut untuk mengubah kata sandi untuk pengguna lokal pada sensor OT Anda. Kata sandi baru harus minimal 8 karakter, berisi huruf kecil dan huruf besar, karakter alfabet, angka dan simbol.

Saat Anda mengubah kata sandi untuk admin , kata sandi diubah untuk akses SSH dan web.

Pengguna	Perintah	Sintaks perintah penuh
admin	system password	<username>

Contoh berikut menunjukkan pengguna admin yang mengubah kata sandi. Kata sandi baru tidak muncul di layar saat Anda mengetiknya, pastikan untuk menulis untuk mencatatnya dan memastikan bahwa kata sandi ditik dengan benar ketika diminta untuk memasukkan kembali kata sandi.

shell>system password user1
Enter New Password for user1: 
Reenter Password:
shell>

Konfigurasi jaringan

Mengubah konfigurasi jaringan atau menetapkan ulang peran antarmuka jaringan

Gunakan perintah berikut untuk menjalankan ulang wizard konfigurasi perangkat lunak pemantauan OT, yang membantu Anda menentukan atau mengonfigurasi ulang pengaturan sensor OT berikut:

• Mengaktifkan/menonaktifkan antarmuka pemantauan SPAN
• Mengonfigurasi pengaturan jaringan untuk antarmuka manajemen (IP, subnet, gateway default, DNS)
• Menetapkan direktori cadangan

Pengguna	Perintah	Sintaks perintah penuh
admin	network reconfigure	Tidak ada atribut
cyberx	python3 -m cyberx.config.configure	Tidak ada atribut

Misalnya, dengan pengguna admin :

shell> network reconfigure

Wizard konfigurasi dimulai secara otomatis setelah Anda menjalankan perintah ini. Untuk informasi selengkapnya, lihat Menginstal perangkat lunak pemantauan OT.

Memvalidasi dan menampilkan konfigurasi antarmuka jaringan

Gunakan perintah berikut untuk memvalidasi dan menampilkan konfigurasi antarmuka jaringan saat ini pada sensor OT.

Pengguna	Perintah	Sintaks perintah penuh
admin	network validate	Tidak ada atribut

Misalnya, untuk pengguna admin :

shell> network validate
Success! (Appliance configuration matches the network settings)
Current Network Settings:
interface: eth0
ip: 172.20.248.69
subnet: 255.255.192.0
default gateway: 10.1.0.1
dns: 168.63.129.16
monitor interfaces mapping: local_listener=adiot0
shell>

Periksa konektivitas jaringan dari sensor OT

Gunakan perintah berikut untuk mengirim pesan ping dari sensor OT.

Pengguna	Perintah	Sintaks perintah penuh
admin	ping <IP address>	Tidak ada atribut
cyberx , atau admin dengan akses root	ping <IP address>	Tidak ada atribut

Dalam perintah ini, <IP address> adalah alamat IP host jaringan IPv4 yang valid yang dapat diakses dari port manajemen pada sensor OT Anda.

Temukan port fisik dengan mengedipkan lampu antarmuka

Gunakan perintah berikut untuk menemukan antarmuka fisik tertentu dengan menyebabkan lampu antarmuka berkedip.

Pengguna	Perintah	Sintaks perintah penuh
admin	network blink <INT>	Tidak ada atribut

Dalam perintah ini, <INT> adalah port ethernet fisik pada appliance.

Contoh berikut menunjukkan pengguna admin yang mengedipkan antarmuka eth0:

shell> network blink eth0
Blinking interface for 20 seconds ...

Mencantumkan antarmuka fisik yang terhubung

Gunakan perintah berikut untuk mencantumkan antarmuka fisik yang terhubung pada sensor OT Anda.

Pengguna	Perintah	Sintaks perintah penuh
admin	network list	Tidak ada atribut
cyberx, atau admin dengan akses root	ifconfig	Tidak ada atribut

Misalnya, untuk pengguna admin :

shell> network list
adiot0: flags=4419<UP,BROADCAST,RUNNING,PROMISC,MULTICAST>  mtu 4096
        ether be:b1:01:1f:91:88  txqueuelen 1000  (Ethernet)
        RX packets 2589575  bytes 740011013 (740.0 MB)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 1  bytes 90 (90.0 B)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

eth0: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 1500
        inet 172.18.0.2  netmask 255.255.0.0  broadcast 172.18.255.255
        ether 02:42:ac:12:00:02  txqueuelen 0  (Ethernet)
        RX packets 22419372  bytes 5757035946 (5.7 GB)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 23078301  bytes 2544599581 (2.5 GB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

lo: flags=73<UP,LOOPBACK,RUNNING>  mtu 65536
        inet 127.0.0.1  netmask 255.0.0.0
        loop  txqueuelen 1000  (Local Loopback)
        RX packets 837196  bytes 259542408 (259.5 MB)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 837196  bytes 259542408 (259.5 MB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

shell>

Filter penangkapan lalu lintas

Untuk mengurangi kelelahan pemberitahuan dan memfokuskan pemantauan jaringan Anda pada lalu lintas prioritas tinggi, Anda dapat memutuskan untuk memfilter lalu lintas yang mengalir ke Defender untuk IoT di sumbernya. Filter pengambilan memungkinkan Anda memblokir lalu lintas bandwidth tinggi di lapisan perangkat keras, mengoptimalkan performa appliance dan penggunaan sumber daya.

Gunakan sertakan daftar/atau kecualikan untuk membuat dan mengonfigurasi filter pengambilan pada sensor jaringan OT Anda, memastikan bahwa Anda tidak memblokir lalu lintas apa pun yang ingin Anda pantau.

Kasus penggunaan dasar untuk filter pengambilan menggunakan filter yang sama untuk semua komponen Defender for IoT. Namun, untuk kasus penggunaan tingkat lanjut, Anda mungkin ingin mengonfigurasi filter terpisah untuk setiap komponen Defender for IoT berikut:

• horizon: Menangkap data inspeksi paket mendalam (DPI)
• collector: Mengambil data PCAP
• traffic-monitor: Menangkap statistik komunikasi

Membuat filter dasar untuk semua komponen

Metode yang digunakan untuk mengonfigurasi filter tangkapan dasar berbeda, tergantung pada pengguna yang melakukan perintah:

• Pengguna cyberx : Jalankan perintah yang ditentukan dengan atribut tertentu untuk mengonfigurasi filter pengambilan Anda.
• pengguna admin : Jalankan perintah yang ditentukan, lalu masukkan nilai seperti yang diminta oleh CLI, mengedit daftar sertakan dan kecualikan di editor nano.

Gunakan perintah berikut untuk membuat filter pengambilan baru:

Pengguna	Perintah	Sintaks perintah penuh
admin	network capture-filter	Tidak ada atribut.
cyberx, atau admin dengan akses root	cyberx-xsense-capture-filter	cyberx-xsense-capture-filter [-h] [-i INCLUDE] [-x EXCLUDE] [-etp EXCLUDE_TCP_PORT] [-eup EXCLUDE_UDP_PORT] [-itp INCLUDE_TCP_PORT] [-iup INCLUDE_UDP_PORT] [-vlan INCLUDE_VLAN_IDS] -m MODE [-S]

Atribut yang didukung untuk pengguna cyberx didefinisikan sebagai berikut:

Atribut	Deskripsi
-h, --help	Menampilkan pesan bantuan dan keluar.
-i <INCLUDE>, --include <INCLUDE>	Jalur ke file yang berisi perangkat dan subnet mask yang ingin Anda sertakan, di mana <INCLUDE> adalah jalur ke file. Misalnya, lihat Sampel menyertakan atau mengecualikan file.
-x EXCLUDE, --exclude EXCLUDE	Jalur ke file yang berisi perangkat dan subnet mask yang ingin Anda kecualikan, di mana <EXCLUDE> adalah jalur ke file. Misalnya, lihat Sampel menyertakan atau mengecualikan file.
- -etp <EXCLUDE_TCP_PORT>, --exclude-tcp-port <EXCLUDE_TCP_PORT>	Mengecualikan lalu lintas TCP pada port tertentu, di mana <EXCLUDE_TCP_PORT> menentukan port atau port yang ingin Anda kecualikan. Memisahkan beberapa port berdasarkan koma, tanpa spasi.
-eup <EXCLUDE_UDP_PORT>, --exclude-udp-port <EXCLUDE_UDP_PORT>	Mengecualikan lalu lintas UDP pada port tertentu, di mana <EXCLUDE_UDP_PORT> menentukan port atau port yang ingin Anda kecualikan. Memisahkan beberapa port berdasarkan koma, tanpa spasi.
-itp <INCLUDE_TCP_PORT>, --include-tcp-port <INCLUDE_TCP_PORT>	Termasuk lalu lintas TCP pada port tertentu, di mana <INCLUDE_TCP_PORT> menentukan port atau port yang ingin Anda sertakan. Memisahkan beberapa port berdasarkan koma, tanpa spasi.
-iup <INCLUDE_UDP_PORT>, --include-udp-port <INCLUDE_UDP_PORT>	Termasuk lalu lintas UDP pada port tertentu, di mana <INCLUDE_UDP_PORT> menentukan port atau port yang ingin Anda sertakan. Memisahkan beberapa port berdasarkan koma, tanpa spasi.
-vlan <INCLUDE_VLAN_IDS>, --include-vlan-ids <INCLUDE_VLAN_IDS>	Termasuk lalu lintas VLAN dengan ID VLAN tertentu, <INCLUDE_VLAN_IDS> menentukan ID VLAN atau ID yang ingin Anda sertakan. Memisahkan beberapa ID VLAN berdasarkan koma, tanpa spasi.
-p <PROGRAM>, --program <PROGRAM>	Menentukan komponen yang ingin Anda konfigurasikan filter pengambilannya. Gunakan all untuk kasus penggunaan dasar, untuk membuat filter tangkapan tunggal untuk semua komponen. Untuk kasus penggunaan tingkat lanjut, buat filter tangkapan terpisah untuk setiap komponen. Untuk informasi selengkapnya, lihat Membuat filter tingkat lanjut untuk komponen tertentu.
-m <MODE>, --mode <MODE>	Menentukan mode daftar sertakan, dan hanya relevan saat daftar sertakan digunakan. Gunakan salah satu nilai berikut: - internal: Mencakup semua komunikasi antara sumber dan tujuan yang ditentukan - all-connected: Menyertakan semua komunikasi antara salah satu titik akhir yang ditentukan dan titik akhir eksternal. Misalnya, untuk titik akhir A dan B, jika Anda menggunakan internal mode , lalu lintas yang disertakan hanya akan menyertakan komunikasi antara titik akhir A dan B. Namun, jika Anda menggunakan mode , all-connected lalu lintas yang disertakan akan mencakup semua komunikasi antara A atau B dan titik akhir eksternal lainnya.

Sampel menyertakan atau mengecualikan file

Misalnya, file sertakan atau kecualikan .txt mungkin menyertakan entri berikut:

192.168.50.10
172.20.248.1

Membuat filter pengambilan dasar menggunakan pengguna admin

Jika Anda membuat filter pengambilan dasar sebagai pengguna admin , tidak ada atribut yang diteruskan dalam perintah asli. Sebagai gantinya, serangkaian perintah ditampilkan untuk membantu Anda membuat filter pengambilan secara interaktif.

Balas ke perintah yang ditampilkan sebagai berikut:

1. Would you like to supply devices and subnet masks you wish to include in the capture filter? [Y/N]:

   Pilih Y untuk membuka file sertakan baru, tempat Anda dapat menambahkan perangkat, saluran, dan/atau subnet yang ingin Anda sertakan dalam lalu lintas yang dipantau. Lalu lintas lainnya, yang tidak tercantum dalam file sertakan Anda, tidak diserap ke Defender untuk IoT.

   File sertakan dibuka di editor teks Nano . Dalam file sertakan, tentukan perangkat, saluran, dan subnet sebagai berikut:

   Tipe	Deskripsi	Contoh
   Perangkat	Tentukan perangkat dengan alamat IP-nya.	1.1.1.1 mencakup semua lalu lintas untuk perangkat ini.
   Channel	Tentukan saluran berdasarkan alamat IP perangkat sumber dan tujuannya, dipisahkan oleh koma.	1.1.1.1,2.2.2.2 mencakup semua lalu lintas untuk saluran ini.
   Subnet	Tentukan subnet menurut alamat jaringannya.	1.1.1 mencakup semua lalu lintas untuk subnet ini.

   Mencantumkan beberapa argumen dalam baris terpisah.

2. Would you like to supply devices and subnet masks you wish to exclude from the capture filter? [Y/N]:

   Pilih Y untuk membuka file pengecualian baru tempat Anda dapat menambahkan perangkat, saluran, dan/atau subnet yang ingin Anda kecualikan dari lalu lintas yang dipantau. Lalu lintas lainnya, yang tidak tercantum dalam file pengecualian Anda, diserap ke Defender untuk IoT.

   File pengecualian dibuka di editor teks Nano . Dalam file kecualikan, tentukan perangkat, saluran, dan subnet sebagai berikut:

   Tipe	Deskripsi	Contoh
   Perangkat	Tentukan perangkat dengan alamat IP-nya.	1.1.1.1 mengecualikan semua lalu lintas untuk perangkat ini.
   Channel	Tentukan saluran berdasarkan alamat IP perangkat sumber dan tujuannya, dipisahkan oleh koma.	1.1.1.1,2.2.2.2 mengecualikan semua lalu lintas antara perangkat ini.
   Saluran menurut port	Tentukan saluran berdasarkan alamat IP perangkat sumber dan tujuannya, dan port lalu lintas.	1.1.1.1,2.2.2.2,443 mengecualikan semua lalu lintas antara perangkat ini dan menggunakan port yang ditentukan.
   Subnet	Tentukan subnet menurut alamat jaringannya.	1.1.1 mengecualikan semua lalu lintas untuk subnet ini.
   Saluran subnet	Tentukan alamat jaringan saluran subnet untuk subnet sumber dan tujuan.	1.1.1,2.2.2 mengecualikan semua lalu lintas antara subnet ini.

   Mencantumkan beberapa argumen dalam baris terpisah.

3. Balas ke perintah berikut untuk menentukan port TCP atau UDP apa pun untuk disertakan atau dikecualikan. Pisahkan beberapa port dengan koma, dan tekan ENTER untuk melewati perintah tertentu.

   • Enter tcp ports to include (delimited by comma or Enter to skip):
   • Enter udp ports to include (delimited by comma or Enter to skip):
   • Enter tcp ports to exclude (delimited by comma or Enter to skip):
   • Enter udp ports to exclude (delimited by comma or Enter to skip):
   • Enter VLAN ids to include (delimited by comma or Enter to skip):

   Misalnya, masukkan beberapa port sebagai berikut: 502,443

4. In which component do you wish to apply this capture filter?

   Masukkan all untuk filter pengambilan dasar. Untuk kasus penggunaan tingkat lanjut, buat filter pengambilan untuk setiap komponen Defender for IoT secara terpisah.

5. Type Y for "internal" otherwise N for "all-connected" (custom operation mode enabled) [Y/N]:

   Perintah ini memungkinkan Anda untuk mengonfigurasi lalu lintas mana yang berada dalam cakupan. Tentukan apakah Anda ingin mengumpulkan lalu lintas di mana kedua titik akhir berada dalam cakupan, atau hanya salah satunya dalam subnet yang ditentukan. Nilai yang didukung mencakup:

   • internal: Mencakup semua komunikasi antara sumber dan tujuan yang ditentukan
   • all-connected: Menyertakan semua komunikasi antara salah satu titik akhir yang ditentukan dan titik akhir eksternal.

   Misalnya, untuk titik akhir A dan B, jika Anda menggunakan internal mode , lalu lintas yang disertakan hanya akan menyertakan komunikasi antara titik akhir A dan B.
   Namun, jika Anda menggunakan mode , all-connected lalu lintas yang disertakan akan mencakup semua komunikasi antara A atau B dan titik akhir eksternal lainnya.

   Mode defaultnya adalah internal. Untuk menggunakan all-connected mode, pilih Y pada perintah, lalu masukkan all-connected.

Contoh berikut menunjukkan serangkaian perintah yang membuat filter pengambilan untuk mengecualikan subnet 192.168.x.x dan port 9000:

root@xsense: network capture-filter
Would you like to supply devices and subnet masks you wish to include in the capture filter? [y/N]: n
Would you like to supply devices and subnet masks you wish to exclude from the capture filter? [y/N]: y
You've exited the editor. Would you like to apply your modifications? [y/N]: y
Enter tcp ports to include (delimited by comma or Enter to skip):
Enter udp ports to include (delimited by comma or Enter to skip):
Enter tcp ports to exclude (delimited by comma or Enter to skip):9000
Enter udp ports to exclude (delimited by comma or Enter to skip):9000
Enter VLAN ids to include (delimited by comma or Enter to skip):
In which component do you wish to apply this capture filter?all
Would you like to supply a custom base capture filter for the collector component? [y/N]: n
Would you like to supply a custom base capture filter for the traffic_monitor component? [y/N]: n
Would you like to supply a custom base capture filter for the horizon component? [y/N]: n
type Y for "internal" otherwise N for "all-connected" (custom operation mode enabled) [Y/n]: internal
Please respond with 'yes' or 'no' (or 'y' or 'n').
type Y for "internal" otherwise N for "all-connected" (custom operation mode enabled) [Y/n]: y
starting "/usr/local/bin/cyberx-xsense-capture-filter --exclude /var/cyberx/media/capture-filter/exclude --exclude-tcp-port 9000 --exclude-udp-port 9000 --program all --mode internal --from-shell"
No include file given
Loaded 1 unique channels
(000) ret      #262144
(000) ldh      [12]
......
......
......
debug: set new filter for horizon '(((not (net 192.168))) and (not (tcp port 9000)) and (not (udp port 9000))) or (vlan and ((not (net 192.168))) and (not (tcp port 9000)) and (not (udp port 9000)))'
root@xsense:

Membuat filter tingkat lanjut untuk komponen tertentu

Saat mengonfigurasi filter pengambilan tingkat lanjut untuk komponen tertentu, Anda dapat menggunakan file awal serta sertakan dan kecualikan sebagai dasar, atau templat, filter pengambilan. Kemudian, konfigurasikan filter tambahan untuk setiap komponen di atas dasar sesuai kebutuhan.

Untuk membuat filter pengambilan untuk setiap komponen, pastikan untuk mengulangi seluruh proses untuk setiap komponen.

Pengguna	Perintah	Sintaks perintah penuh
admin	network capture-filter	Tidak ada atribut.
cyberx, atau admin dengan akses root	cyberx-xsense-capture-filter	cyberx-xsense-capture-filter [-h] [-i INCLUDE] [-x EXCLUDE] [-etp EXCLUDE_TCP_PORT] [-eup EXCLUDE_UDP_PORT] [-itp INCLUDE_TCP_PORT] [-iup INCLUDE_UDP_PORT] [-vlan INCLUDE_VLAN_IDS] -p PROGRAM [-o BASE_HORIZON] [-s BASE_TRAFFIC_MONITOR] [-c BASE_COLLECTOR] -m MODE [-S]

Atribut tambahan berikut digunakan untuk pengguna cyberx untuk membuat filter pengambilan untuk setiap komponen secara terpisah:

Atribut	Deskripsi
-p <PROGRAM>, --program <PROGRAM>	Menentukan komponen yang ingin Anda konfigurasi filter tangkapnya, di mana <PROGRAM> memiliki nilai yang didukung berikut: - traffic-monitor - collector - horizon - all: Membuat filter tangkapan tunggal untuk semua komponen. Untuk informasi selengkapnya, lihat Membuat filter dasar untuk semua komponen.
-o <BASE_HORIZON>, --base-horizon <BASE_HORIZON>	Menentukan filter pengambilan dasar untuk horizon komponen, di mana <BASE_HORIZON> adalah filter yang ingin Anda gunakan. Nilai default = ""
-s BASE_TRAFFIC_MONITOR, --base-traffic-monitor BASE_TRAFFIC_MONITOR	Menentukan filter penangkapan dasar untuk traffic-monitor komponen. Nilai default = ""
-c BASE_COLLECTOR, --base-collector BASE_COLLECTOR	Menentukan filter penangkapan dasar untuk collector komponen. Nilai default = ""

Nilai atribut lain memiliki deskripsi yang sama seperti dalam kasus penggunaan dasar, yang dijelaskan sebelumnya.

Membuat filter pengambilan tingkat lanjut menggunakan pengguna admin

Jika Anda membuat filter pengambilan untuk setiap komponen secara terpisah sebagai pengguna admin , tidak ada atribut yang diteruskan dalam perintah asli. Sebagai gantinya, serangkaian perintah ditampilkan untuk membantu Anda membuat filter pengambilan secara interaktif.

Sebagian besar perintah identik dengan kasus penggunaan dasar. Balas ke perintah tambahan berikut sebagai berikut:

1. In which component do you wish to apply this capture filter?

   Masukkan salah satu nilai berikut, bergantung pada komponen yang ingin Anda filter:

   • horizon
   • traffic-monitor
   • collector

2. Anda diminta untuk mengonfigurasi filter penangkapan dasar kustom untuk komponen yang dipilih. Opsi ini menggunakan filter pengambilan yang Anda konfigurasikan di langkah sebelumnya sebagai dasar, atau templat, tempat Anda dapat menambahkan konfigurasi tambahan di atas dasar.

   Misalnya, jika Anda memilih untuk mengonfigurasi filter pengambilan untuk collector komponen di langkah sebelumnya, Anda akan diminta: Would you like to supply a custom base capture filter for the collector component? [Y/N]:

   Masukkan Y untuk mengkustomisasi templat untuk komponen yang ditentukan, atau N untuk menggunakan filter pengambilan yang akan Anda konfigurasi sebelumnya apa adanya.

Lanjutkan dengan perintah yang tersisa seperti dalam kasus penggunaan dasar.

Mencantumkan filter pengambilan saat ini untuk komponen tertentu

Gunakan perintah berikut untuk menampilkan detail tentang filter pengambilan saat ini yang dikonfigurasi untuk sensor Anda.

Pengguna	Perintah	Sintaks perintah penuh
admin	Gunakan perintah berikut untuk melihat filter pengambilan untuk setiap komponen: - horizon: edit-config horizon_parser/horizon.properties - monitor lalu lintas: edit-config traffic_monitor/traffic-monitor - kolektor: edit-config dumpark.properties	Tidak ada atribut
cyberx, atau admin dengan akses root	Gunakan perintah berikut untuk melihat filter pengambilan untuk setiap komponen: -horizon: nano /var/cyberx/properties/horizon_parser/horizon.properties - monitor lalu lintas: nano /var/cyberx/properties/traffic_monitor/traffic-monitor.properties - kolektor: nano /var/cyberx/properties/dumpark.properties	Tidak ada atribut

Perintah ini membuka file berikut, yang mencantumkan filter pengambilan yang dikonfigurasi untuk setiap komponen:

Nama	File	Properti
horison	/var/cyberx/properties/horizon.properties	horizon.processor.filter
monitor lalu lintas	/var/cyberx/properties/traffic-monitor.properties	horizon.processor.filter
Kolektor	/var/cyberx/properties/dumpark.properties	dumpark.network.filter

Misalnya dengan pengguna admin , dengan filter pengambilan yang ditentukan untuk komponen pengumpul yang mengecualikan subnet 192.168.x.x dan port 9000:

root@xsense: edit-config dumpark.properties
  GNU nano 2.9.3                      /tmp/tmpevt4igo7/tmpevt4igo7

dumpark.network.filter=(((not (net 192.168))) and (not (tcp port 9000)) and (not
dumpark.network.snaplen=4096
dumpark.packet.filter.data.transfer=false
dumpark.infinite=true
dumpark.output.session=false
dumpark.output.single=false
dumpark.output.raw=true
dumpark.output.rotate=true
dumpark.output.rotate.history=300
dumpark.output.size=20M
dumpark.output.time=30S

Mengatur ulang semua filter pengambilan

Gunakan perintah berikut untuk mengatur ulang sensor Anda ke konfigurasi pengambilan default dengan pengguna cyberx , menghapus semua filter pengambilan.

Pengguna	Perintah	Sintaks perintah penuh
cyberx, atau admin dengan akses root	cyberx-xsense-capture-filter -p all -m all-connected	Tidak ada atribut

Jika Anda ingin mengubah filter pengambilan yang ada, jalankan perintah sebelumnya lagi, dengan nilai atribut baru.

Untuk mengatur ulang semua filter pengambilan menggunakan pengguna admin , jalankan perintah sebelumnya lagi, dan tanggapi N semua perintah untuk mengatur ulang semua filter pengambilan.

Contoh berikut menunjukkan sintaks perintah dan respons untuk pengguna cyberx :

root@xsense:/#  cyberx-xsense-capture-filter -p all -m all-connected
starting "/usr/local/bin/cyberx-xsense-capture-filter -p all -m all-connected"
No include file given
No exclude file given
(000) ret      #262144
(000) ret      #262144
debug: set new filter for dumpark ''
No include file given
No exclude file given
(000) ret      #262144
(000) ret      #262144
debug: set new filter for traffic-monitor ''
No include file given
No exclude file given
(000) ret      #262144
(000) ret      #262144
debug: set new filter for horizon ''
root@xsense:/#

Langkah berikutnya