OT ネットワーク センサーからの CLI コマンド リファレンス
この記事では、Defender for IoT OT ネットワーク センサーから使用できる CLI コマンドの一覧を示します。
注意事項
OT ネットワーク センサーとオンプレミス管理コンソールの文書化された構成パラメーターのみが、顧客の構成ではサポートされています。 文書化されていない構成パラメーターやシステム プロパティは、変更しないでください。変更すると予期しない動作やシステム障害が発生する可能性があります。
Microsoft の承認なしにセンサーからパッケージを削除すると、予期しない結果が生じる場合があります。 センサーにインストールされているすべてのパッケージは、センサーが正しく機能するために必要です。
前提条件
次のいずれかの CLI コマンドを実行する前に、特権ユーザーとして OT ネットワーク センサー上の CLI にアクセスする必要があります。
この記事では、各ユーザーのコマンド構文を示しますが、admin ユーザーがサポートされているすべての CLI コマンドには、admin ユーザーを使用することをお勧めします。
詳細については、「CLI へのアクセス」と「OT 監視用の特権ユーザー アクセス」を参照してください。
アプライアンスのメンテナンス
OT 監視サービスの正常性を確認する
次のコマンドを使用して、Web コンソールやトラフィック分析プロセスなど、OT センサー上の Defender for IoT アプリケーションが正しく動作していることを確認します。
正常性チェックは、OT センサー コンソールからも利用できます。 詳細については、「センサーのトラブルシューティングを行う」を参照してください。
User | コマンド | 完全なコマンド構文 |
---|---|---|
admin | system sanity |
属性なし |
cyberx または admin root アクセス | cyberx-xsense-sanity |
属性なし |
次の例は、 admin ユーザーのコマンド構文と応答を示しています。
shell> system sanity
[+] C-Cabra Engine | Running for 17:26:30.191945
[+] Cache Layer | Running for 17:26:32.352745
[+] Core API | Running for 17:26:28
[+] Health Monitor | Running for 17:26:28
[+] Horizon Agent 1 | Running for 17:26:27
[+] Horizon Parser | Running for 17:26:30.183145
[+] Network Processor | Running for 17:26:27
[+] Persistence Layer | Running for 17:26:33.577045
[+] Profiling Service | Running for 17:26:34.105745
[+] Traffic Monitor | Running for 17:26:30.345145
[+] Upload Manager Service | Running for 17:26:31.514645
[+] Watch Dog | Running for 17:26:30
[+] Web Apps | Running for 17:26:30
System is UP! (medium)
アプライアンスを再起動する
OT センサー アプライアンスを再起動するには、次のコマンドを使用します。
User | コマンド | 完全なコマンド構文 |
---|---|---|
admin | system reboot |
属性なし |
root アクセスを使用したcyberx_host、または admin | sudo reboot |
属性なし |
たとえば、 admin ユーザーの場合:
shell> system reboot
アプライアンスをシャットダウンする
OT センサー アプライアンスをシャットダウンするには、次のコマンドを使用します。
User | コマンド | 完全なコマンド構文 |
---|---|---|
admin | system shutdown |
属性なし |
root アクセスを使用したcyberx_host、または admin | sudo shutdown -r now |
属性なし |
たとえば、 admin ユーザーの場合:
shell> system shutdown
インストール済みのソフトウェアのバージョンを表示する
次のコマンドを使用して、OT センサーにインストールされている Defender for IoT ソフトウェアのバージョンを一覧表示します。
User | コマンド | 完全なコマンド構文 |
---|---|---|
admin | system version |
属性なし |
cyberx 、または admin root アクセス | cyberx-xsense-version |
属性なし |
たとえば、 admin ユーザーの場合:
shell> system version
Version: 22.2.5.9-r-2121448
現在のシステムの日付および時刻を表示する
次のコマンドを使用して、OT ネットワーク センサーの現在のシステムの日付と時刻を GMT 形式で表示します。
User | コマンド | 完全なコマンド構文 |
---|---|---|
admin | date |
属性なし |
cyberx 、または admin root アクセス | date |
属性なし |
root アクセスを使用したcyberx_host、または admin | date |
属性なし |
たとえば、 admin ユーザーの場合:
shell> date
Thu Sep 29 18:38:23 UTC 2022
shell>
NTP 時刻同期を有効にする
次のコマンドを使用して、NTP サーバーとのアプライアンス時刻の同期を有効にします。
これらのコマンドを使用するには、次の点を確認します。
- NTP サーバーはアプライアンス管理ポートから到達できます
- 同じ NTP サーバーを使用して、すべてのセンサー アプライアンスとオンプレミス管理コンソールを同期します
User | コマンド | 完全なコマンド構文 |
---|---|---|
admin | ntp enable <IP address> |
属性なし |
cyberx 、または admin root アクセス | cyberx-xsense-ntp-enable <IP address> |
属性なし |
これらのコマンドでは、<IP address>
はポート 123 を使用する有効な IPv4 NTP サーバーの IP アドレスです。
たとえば、 admin ユーザーの場合:
shell> ntp enable 129.6.15.28
shell>
NTP 時刻同期を無効にする
次のコマンドを使用して、NTP サーバーとのアプライアンス時刻の同期を無効にします。
User | コマンド | 完全なコマンド構文 |
---|---|---|
admin | ntp disable <IP address> |
属性なし |
cyberx 、または admin root アクセス | cyberx-xsense-ntp-disable <IP address> |
属性なし |
これらのコマンドでは、<IP address>
はポート 123 を使用する有効な IPv4 NTP サーバーの IP アドレスです。
たとえば、 admin ユーザーの場合:
shell> ntp disable 129.6.15.28
shell>
バックアップと復元
次のセクションでは、OT ネットワーク センサーのシステム スナップショットをバックアップおよび復元するためにサポートされる CLI コマンドについて説明します。
バックアップ ファイルには、構成設定、ベースライン値、インベントリ データ、ログなど、センサー状態の完全なスナップショットが含まれます。
注意事項
システムが使用できなくなる可能性があるため、システムのバックアップまたは復元操作を中断しないでください。
即時のスケジュールされていないバックアップを開始する
次のコマンドを使用して、OT センサー上のデータのスケジュールされていない即時バックアップを開始します。 詳細については、「バックアップ ファイルと復元ファイルを設定する」を参照してください。
注意事項
データのバックアップ中にアプライアンスを停止または電源オフしないようにしてください。
User | コマンド | 完全なコマンド構文 |
---|---|---|
admin | system backup create |
属性なし |
cyberx 、または admin root アクセス | cyberx-xsense-system-backup |
属性なし |
たとえば、 admin ユーザーの場合:
shell> system backup create
Backing up DATA_KEY
...
...
Finished backup. Backup is stored at /var/cyberx/backups/e2e-xsense-1664469968212-backup-version-22.2.6.318-r-71e6295-2022-09-29_18:29:55.tar
Setting backup status 'SUCCESS' in redis
shell>
現在のバックアップ ファイルを一覧表示する
OT ネットワーク センサーに現在格納されているバックアップ ファイルを一覧表示するには、次のコマンドを使用します。
User | コマンド | 完全なコマンド構文 |
---|---|---|
admin | system backup list |
属性なし |
cyberx 、または admin root アクセス | cyberx-xsense-system-backup-list |
属性なし |
たとえば、 admin ユーザーの場合:
shell> system backup list
backup files:
e2e-xsense-1664469968212-backup-version-22.3.0.318-r-71e6295-2022-09-29_18:30:20.tar
e2e-xsense-1664469968212-backup-version-22.3.0.318-r-71e6295-2022-09-29_18:29:55.tar
shell>
最新のバックアップからデータを復元する
最新のバックアップ ファイルを使用して OT ネットワーク センサー上のデータを復元するには、次のコマンドを使用します。 メッセージが表示されたら、続行を確認します。
注意事項
データの復元中にアプライアンスを停止または電源オフしないようにしてください。
User | コマンド | 完全なコマンド構文 |
---|---|---|
admin | system restore |
属性なし |
cyberx または admin root アクセス | cyberx-xsense-system-restore |
-f <filename> |
たとえば、 admin ユーザーの場合:
shell> system restore
Waiting for redis to start...
Redis is up
Use backup file as "/var/cyberx/backups/e2e-xsense-1664469968212-backup-version-22.2.6.318-r-71e6295-2022-09-29_18:30:20.tar" ? [Y/n]: y
WARNING - the following procedure will restore data. do not stop or power off the server machine while this procedure is running. Are you sure you wish to proceed? [Y/n]: y
...
...
watchdog started
starting components
shell>
バックアップ ディスク領域の割り当てを表示する
次のコマンドは、次の詳細を含む、現在のバックアップ ディスク領域の割り当てを一覧表示します。
- バックアップ フォルダーの場所
- バックアップ フォルダーのサイズ
- バックアップ フォルダーの制限
- 前回のバックアップ操作時刻
- バックアップに使用できる空きディスク領域
User | コマンド | 完全なコマンド構文 |
---|---|---|
admin | cyberx-backup-memory-check |
属性なし |
たとえば、 admin ユーザーの場合:
shell> cyberx-backup-memory-check
2.1M /var/cyberx/backups
Backup limit is: 20Gb
shell>
ローカル ユーザー管理
ローカル ユーザー パスワードを変更する
OT センサーのローカル ユーザーのパスワードを変更するには、次のコマンドを使用します。 新しいパスワードは 8 文字以上で、小文字と大文字、英字、数字、記号を含める必要があります。
admin のパスワードを変更すると SSH と Web アクセスの両方のパスワードが変更されます。
User | コマンド | 完全なコマンド構文 |
---|---|---|
admin | system password |
<username> |
次の例は、 admin ユーザーによるパスワードの変更を示しています。 新しいパスワードは、入力時に画面に表示されません。書き込んでメモし、パスワードの再入力を求められたときに正しく入力されていることを確認してください。
shell>system password user1
Enter New Password for user1:
Reenter Password:
shell>
ネットワーク構成
ネットワーク構成を変更するか、ネットワーク インターフェイスの役割を再割り当てする
OT 監視ソフトウェア構成ウィザードを再実行するには、次のコマンドを使用します。これは、次の OT センサー設定を定義または再構成するのに役立ちます。
- SPAN 監視インターフェイスを有効または無効にする
- 管理インターフェイス (IP、サブネット、既定のゲートウェイ、DNS) のネットワーク設定を構成する
- バックアップ ディレクトリの割り当て
User | コマンド | 完全なコマンド構文 |
---|---|---|
admin | sudo dpkg-reconfigure iot-sensor |
属性なし |
たとえば、 admin ユーザーの場合:
shell> sudo dpkg-reconfigure iot-sensor
このコマンドを実行すると、構成ウィザードが自動的に起動します。 詳細については、OT 監視ソフトウェアのインストールに関する記事を参照してください。
ネットワーク インターフェイスの構成を検証して表示する
OT センサーで現在のネットワーク インターフェイス構成を検証して表示するには、次のコマンドを使用します。
User | コマンド | 完全なコマンド構文 |
---|---|---|
admin | network validate |
属性なし |
たとえば、 admin ユーザーの場合:
shell> network validate
Success! (Appliance configuration matches the network settings)
Current Network Settings:
interface: eth0
ip: 172.20.248.69
subnet: 255.255.192.0
default gateway: 10.1.0.1
dns: 168.63.129.16
monitor interfaces mapping: local_listener=adiot0
shell>
OT センサーからのネットワーク接続を確認する
OT センサーから ping メッセージを送信するには、次のコマンドを使用します。
User | コマンド | 完全なコマンド構文 |
---|---|---|
admin | ping <IP address> |
属性なし |
cyberx 、または admin root アクセス | ping <IP address> |
属性なし |
これらのコマンドで、<IP address>
は OT センサーの管理ポートからアクセスできる有効な IPv4 ネットワーク ホストの IP アドレスです。
インターフェイス ライトを点滅させて物理ポートを見つける
次のコマンドを使用して、インターフェイス ライトが点滅して特定の物理インターフェイスを見つけます。
User | コマンド | 完全なコマンド構文 |
---|---|---|
admin | network blink <INT> |
属性なし |
このコマンドでは、<INT>
はアプライアンス上の物理イーサネット ポートです。
次の例は、 admin ユーザーが eth0 インターフェイスを点滅させる方法を示しています。
shell> network blink eth0
Blinking interface for 20 seconds ...
接続されている物理インターフェイスを一覧表示する
OT センサーで接続されている物理インターフェイスを一覧表示するには、次のコマンドを使用します。
User | コマンド | 完全なコマンド構文 |
---|---|---|
admin | network list |
属性なし |
cyberx または admin root アクセス | ifconfig |
属性なし |
たとえば、 admin ユーザーの場合:
shell> network list
adiot0: flags=4419<UP,BROADCAST,RUNNING,PROMISC,MULTICAST> mtu 4096
ether be:b1:01:1f:91:88 txqueuelen 1000 (Ethernet)
RX packets 2589575 bytes 740011013 (740.0 MB)
RX errors 0 dropped 0 overruns 0 frame 0
TX packets 1 bytes 90 (90.0 B)
TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0
eth0: flags=4163<UP,BROADCAST,RUNNING,MULTICAST> mtu 1500
inet 172.18.0.2 netmask 255.255.0.0 broadcast 172.18.255.255
ether 02:42:ac:12:00:02 txqueuelen 0 (Ethernet)
RX packets 22419372 bytes 5757035946 (5.7 GB)
RX errors 0 dropped 0 overruns 0 frame 0
TX packets 23078301 bytes 2544599581 (2.5 GB)
TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0
lo: flags=73<UP,LOOPBACK,RUNNING> mtu 65536
inet 127.0.0.1 netmask 255.0.0.0
loop txqueuelen 1000 (Local Loopback)
RX packets 837196 bytes 259542408 (259.5 MB)
RX errors 0 dropped 0 overruns 0 frame 0
TX packets 837196 bytes 259542408 (259.5 MB)
TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0
shell>
トラフィック キャプチャ フィルター
アラート疲れを軽減し、優先度の高いトラフィックにネットワーク監視を集中するには、ソースで Defender for IoT にストリーミングするトラフィックをフィルター処理することができます。 キャプチャ フィルターを使用すると、ハードウェア層で高帯域幅のトラフィックをブロックし、アプライアンスのパフォーマンスとリソースの使用状況の両方を最適化できます。
OT ネットワーク センサーでキャプチャ フィルターを作成および構成するには、インクルード (または除外) リストを使用して、監視するトラフィックをブロックしないようにします。
キャプチャ フィルターの基本的なユース ケースでは、すべての Defender for IoT コンポーネントで同じフィルターが使用されます。 ただし、高度なユース ケースでは、次の Defender for IoT コンポーネントごとに個別のフィルターを構成できます。
horizon
: ディープ パケット検査 (DPI) データをキャプチャしますcollector
: PCAP データをキャプチャしますtraffic-monitor
: 通信統計をキャプチャします
Note
キャプチャ フィルターは、検出されたすべてのネットワーク トラフィックでトリガーされる Defender for IoT マルウェア アラートには適用されません。
キャプチャ フィルター コマンドには文字数の制限があり、これは、キャプチャ フィルター定義の複雑さと使用可能なネットワーク インターフェイス カード機能に基づきます。 要求されたフィルター コマンドが失敗した場合は、サブネットをより大きなスコープにグループ化して、より短いキャプチャ フィルター コマンドを使用してみてください。
すべてのコンポーネントの基本フィルターを作成する
基本的なキャプチャ フィルターの構成に使用されるメソッドは、コマンドを実行するユーザーによって異なります。
- cyberx ユーザー: 特定の属性を含む指定したコマンドを実行して、キャプチャ フィルターを構成します。
- admin user: 指定したコマンドを実行し、CLI によって に示されているように値を入力、nano エディターでインクルード リストと除外リストを編集します。
次のコマンドを使用して、新しいキャプチャ フィルターを作成します。
User | コマンド | 完全なコマンド構文 |
---|---|---|
admin | network capture-filter |
属性なし。 |
cyberx または admin root アクセス | cyberx-xsense-capture-filter |
cyberx-xsense-capture-filter [-h] [-i INCLUDE] [-x EXCLUDE] [-etp EXCLUDE_TCP_PORT] [-eup EXCLUDE_UDP_PORT] [-itp INCLUDE_TCP_PORT] [-iup INCLUDE_UDP_PORT] [-vlan INCLUDE_VLAN_IDS] -m MODE [-S] |
cyberx ユーザーでサポートされる属性は、次のように定義されます。
属性 | 説明 |
---|---|
-h , --help |
ヘルプ メッセージを表示して終了します。 |
-i <INCLUDE> , --include <INCLUDE> |
含めるデバイスとサブネット マスクを含むファイルへのパス。ここで <INCLUDE> はファイルへのパスです。 例については、「インクルードまたは除外ファイルのサンプル」を参照してください。 |
-x EXCLUDE , --exclude EXCLUDE |
除外するデバイスとサブネット マスクを含むファイルへのパス。ここで <EXCLUDE> はファイルへのパスです。 例については、「インクルードまたは除外ファイルのサンプル」を参照してください。 |
- -etp <EXCLUDE_TCP_PORT> , --exclude-tcp-port <EXCLUDE_TCP_PORT> |
指定したポートの TCP トラフィックを除外します。ここで、<EXCLUDE_TCP_PORT> は除外するポートを定義しています。 スペースを使用せず、複数のポートをコンマで区切ります。 |
-eup <EXCLUDE_UDP_PORT> , --exclude-udp-port <EXCLUDE_UDP_PORT> |
指定したポートの UDP トラフィックを除外します。ここで、<EXCLUDE_UDP_PORT> は除外するポートを定義しています。 スペースを使用せず、複数のポートをコンマで区切ります。 |
-itp <INCLUDE_TCP_PORT> , --include-tcp-port <INCLUDE_TCP_PORT> |
指定したポートの TCP トラフィックを含めます。ここで、<INCLUDE_TCP_PORT> は含めるポートを定義しています。 スペースを使用せず、複数のポートをコンマで区切ります。 |
-iup <INCLUDE_UDP_PORT> , --include-udp-port <INCLUDE_UDP_PORT> |
指定したポートの UDP トラフィックを含めます。ここで、<INCLUDE_UDP_PORT> は含めるポートを定義しています。 スペースを使用せず、複数のポートをコンマで区切ります。 |
-vlan <INCLUDE_VLAN_IDS> , --include-vlan-ids <INCLUDE_VLAN_IDS> |
指定された VLAN ID によって VLAN トラフィックを含め、<INCLUDE_VLAN_IDS> は含める VLAN ID または ID を定義します。 スペースを使用せず、複数の VLAN ID をコンマで区切ります。 |
-p <PROGRAM> , --program <PROGRAM> |
キャプチャ フィルターを構成するコンポーネントを定義します。 すべてのコンポーネントに対して 1 つのキャプチャ フィルターを作成するには、基本的なユース ケースに all を使用します。 高度なユース ケースの場合は、コンポーネントごとに個別のキャプチャ フィルターを作成します。 詳細については、「特定のコンポーネントの高度なフィルターを作成する」を参照してください。 |
-m <MODE> , --mode <MODE> |
インクルード リスト モードを定義します。これはインクルード リストを使用する場合にのみ関連します。 次のいずれかの値を使用します。 - internal : 指定されたソースと宛先の間のすべての通信が含まれます - all-connected : 指定されたエンドポイントと外部エンドポイントの間のすべての通信が含まれます。 たとえば、エンドポイント A と B の場合、 internal モードを使用すると、含まれるトラフィックにはエンドポイント A と B の間の通信のみが含まれます。ただし、 all-connected モードを使用する場合、含まれるトラフィックには、A "または" B と他の外部エンドポイント間のすべての通信が含まれます。 |
たとえば、インクルードまたは除外の .txt ファイルには、次のエントリが含まれる場合があります。
192.168.50.10
172.20.248.1
管理者ユーザーを使用して基本的なキャプチャ フィルターを作成する
admin ユーザーとして基本的なキャプチャ フィルターを作成する場合、序数コマンドでは属性は渡されません。 代わりに、キャプチャ フィルターを対話型で作成するのに役立つ一連のプロンプトが表示されます。
次のように表示されるプロンプトに返信します。
Would you like to supply devices and subnet masks you wish to include in the capture filter? [Y/N]:
Y
を選択すると、監視対象のトラフィックに含めるデバイス、チャネル、サブネットを追加できる新しいインクルード ファイルが開きます。 インクルード ファイルに記載されていないその他のトラフィックは、Defender for IoT に取り込まれません。インクルード ファイルが Nano テキスト エディターで開きます。 インクルード ファイルで、次のようにデバイス、チャネル、サブネットを定義します。
種類 説明設定 例 [デバイス] IP アドレスでデバイスを定義します。 1.1.1.1
ではこのデバイスのすべてのトラフィックが含まれます。チャネル 送信元デバイスと宛先デバイスの IP アドレスをコンマで区切ってチャネルを定義します。 1.1.1.1,2.2.2.2
ではこのチャネルのすべてのトラフィックが含まれます。サブネット ネットワーク アドレスでサブネットを定義します。 1.1.1
ではこのサブネットのすべてのトラフィックが含まれます。複数の引数を別々の行に一覧表示します。
Would you like to supply devices and subnet masks you wish to exclude from the capture filter? [Y/N]:
Y
を選択すると、監視対象のトラフィックから除外するデバイス、チャネル、サブネットを追加できる新しい除外ファイルが開きます。 除外ファイルに記載されていないその他のトラフィックは、Defender for IoT に取り込まれます。除外ファイルが Nano テキスト エディターで開きます。 除外ファイルで、次のようにデバイス、チャネル、サブネットを定義します。
種類 説明設定 例 [デバイス] IP アドレスでデバイスを定義します。 1.1.1.1
ではこのデバイスのすべてのトラフィックが除外されます。チャネル 送信元デバイスと宛先デバイスの IP アドレスをコンマで区切ってチャネルを定義します。 1.1.1.1,2.2.2.2
では、これらのデバイス間のすべてのトラフィックが除外されます。ポート別チャネル 送信元デバイスと宛先デバイスの IP アドレスとトラフィック ポートでチャネルを定義します。 1.1.1.1,2.2.2.2,443
では、これらのデバイスと指定したポートを使用する間のすべてのトラフィックが除外されます。サブネット ネットワーク アドレスでサブネットを定義します。 1.1.1
ではこのサブネットのすべてのトラフィックが除外されます。サブネット チャネル 送信元サブネットと宛先サブネットのサブネット チャネル ネットワーク アドレスを定義します。 1.1.1,2.2.2
では、これらのサブネット間のすべてのトラフィックが除外されます。複数の引数を別々の行に一覧表示します。
次のプロンプトに応答して、含めるか除外する TCP または UDP ポートを定義します。 複数のポートをコンマで区切り、Enter キーを押して特定のプロンプトをスキップします。
Enter tcp ports to include (delimited by comma or Enter to skip):
Enter udp ports to include (delimited by comma or Enter to skip):
Enter tcp ports to exclude (delimited by comma or Enter to skip):
Enter udp ports to exclude (delimited by comma or Enter to skip):
Enter VLAN ids to include (delimited by comma or Enter to skip):
たとえば、
502,443
のように複数のポートを入力します。In which component do you wish to apply this capture filter?
基本的なキャプチャ フィルターに「
all
」と入力します。 高度なユース ケースでは、Defender for IoT コンポーネントごとにキャプチャ フィルターを個別に作成します。Type Y for "internal" otherwise N for "all-connected" (custom operation mode enabled) [Y/N]:
このプロンプトでは、スコープ内のトラフィックを構成できます。 両方のエンドポイントがスコープ内にあるトラフィックを収集するか、そのうちの 1 つだけが指定されたサブネット内にあるかを定義します。 サポートされている値は次のとおりです。
internal
: 指定されたソースと宛先の間のすべての通信が含まれますall-connected
: 指定されたエンドポイントと外部エンドポイントの間のすべての通信が含まれます。
たとえば、エンドポイント A と B の場合、
internal
モードを使用すると、含まれるトラフィックにはエンドポイント A と B の間の通信のみが含まれます。
ただし、all-connected
モードを使用する場合、含まれるトラフィックには、A "または" B と他の外部エンドポイント間のすべての通信が含まれます。既定のモードは
internal
です。all-connected
モードを使用するには、プロンプトでY
を選択し、「all-connected
」と入力します。
次の例は、サブネット 192.168.x.x
とポート 9000:
を除外するキャプチャ フィルターを作成する一連のプロンプトを示しています
root@xsense: network capture-filter
Would you like to supply devices and subnet masks you wish to include in the capture filter? [y/N]: n
Would you like to supply devices and subnet masks you wish to exclude from the capture filter? [y/N]: y
You've exited the editor. Would you like to apply your modifications? [y/N]: y
Enter tcp ports to include (delimited by comma or Enter to skip):
Enter udp ports to include (delimited by comma or Enter to skip):
Enter tcp ports to exclude (delimited by comma or Enter to skip):9000
Enter udp ports to exclude (delimited by comma or Enter to skip):9000
Enter VLAN ids to include (delimited by comma or Enter to skip):
In which component do you wish to apply this capture filter?all
Would you like to supply a custom base capture filter for the collector component? [y/N]: n
Would you like to supply a custom base capture filter for the traffic_monitor component? [y/N]: n
Would you like to supply a custom base capture filter for the horizon component? [y/N]: n
type Y for "internal" otherwise N for "all-connected" (custom operation mode enabled) [Y/n]: internal
Please respond with 'yes' or 'no' (or 'y' or 'n').
type Y for "internal" otherwise N for "all-connected" (custom operation mode enabled) [Y/n]: y
starting "/usr/local/bin/cyberx-xsense-capture-filter --exclude /var/cyberx/media/capture-filter/exclude --exclude-tcp-port 9000 --exclude-udp-port 9000 --program all --mode internal --from-shell"
No include file given
Loaded 1 unique channels
(000) ret #262144
(000) ldh [12]
......
......
......
debug: set new filter for horizon '(((not (net 192.168))) and (not (tcp port 9000)) and (not (udp port 9000))) or (vlan and ((not (net 192.168))) and (not (tcp port 9000)) and (not (udp port 9000)))'
root@xsense:
特定のコンポーネントの高度なフィルターを作成する
特定のコンポーネントに対して高度なキャプチャ フィルターを構成する場合は、最初のインクルード ファイルと除外ファイルをベースまたはテンプレートとして使用してキャプチャ フィルターを使用できます。 次に、必要に応じて、ベース上の各コンポーネントに対して追加のフィルターを構成します。
"コンポーネントごとに" キャプチャ フィルターを作成するには、コンポーネントごとにプロセス全体を繰り返してください。
Note
コンポーネントごとに異なるキャプチャ フィルターを作成した場合は、すべてのコンポーネントでモードの選択が使用されます。 1 つのコンポーネントのキャプチャ フィルターを internal
として定義し、別のコンポーネントのキャプチャ フィルターを all-connected
として定義することはサポートされていません。
User | コマンド | 完全なコマンド構文 |
---|---|---|
admin | network capture-filter |
属性なし。 |
cyberx または admin root アクセス | cyberx-xsense-capture-filter |
cyberx-xsense-capture-filter [-h] [-i INCLUDE] [-x EXCLUDE] [-etp EXCLUDE_TCP_PORT] [-eup EXCLUDE_UDP_PORT] [-itp INCLUDE_TCP_PORT] [-iup INCLUDE_UDP_PORT] [-vlan INCLUDE_VLAN_IDS] -p PROGRAM [-o BASE_HORIZON] [-s BASE_TRAFFIC_MONITOR] [-c BASE_COLLECTOR] -m MODE [-S] |
cyberx ユーザーがコンポーネントごとにキャプチャ フィルターを個別に作成するには、次の追加属性が使用されます。
属性 | 説明 |
---|---|
-p <PROGRAM> , --program <PROGRAM> |
キャプチャ フィルターを構成するコンポーネントを定義します。ここで、<PROGRAM> では次の値がサポートされています。- traffic-monitor - collector - horizon - all : すべてのコンポーネントに対して 1 つのキャプチャ フィルターを作成します。 詳細については、「すべてのコンポーネントの基本フィルターを作成する」を参照してください。 |
-o <BASE_HORIZON> , --base-horizon <BASE_HORIZON> |
horizon コンポーネントの基本キャプチャ フィルターを定義します。ここで、<BASE_HORIZON> は使用するフィルターです。 既定値 = "" |
-s BASE_TRAFFIC_MONITOR , --base-traffic-monitor BASE_TRAFFIC_MONITOR |
traffic-monitor コンポーネントのベース キャプチャ フィルターを定義します。 既定値 = "" |
-c BASE_COLLECTOR , --base-collector BASE_COLLECTOR |
collector コンポーネントのベース キャプチャ フィルターを定義します。 既定値 = "" |
他の属性値には、前述の基本的なユース ケースと同じ説明があります。
管理者ユーザーを使用して高度なキャプチャ フィルターを作成する
admin ユーザーとしてコンポーネントごとにキャプチャ フィルターを作成する場合、original コマンドでは属性は渡されません。 代わりに、キャプチャ フィルターを対話型で作成するのに役立つ一連のプロンプトが表示されます。
ほとんどのプロンプトは、基本的なユース ケースと同じです。 次のように、次の追加プロンプトに返します。
In which component do you wish to apply this capture filter?
フィルター処理するコンポーネントに応じて、次のいずれかの値を入力します。
horizon
traffic-monitor
collector
選択したコンポーネントのカスタム ベース キャプチャ フィルターを構成するように求められます。 このオプションでは、前の手順で構成したキャプチャ フィルターをベースまたはテンプレートとして使用します。ここで、ベースの上に追加の構成を追加できます。
たとえば、前の手順で
collector
コンポーネントのキャプチャ フィルターを構成することを選択した場合は、Would you like to supply a custom base capture filter for the collector component? [Y/N]:
のようなダイアログが表示されます。「
Y
」と入力して、指定したコンポーネントのテンプレートをカスタマイズするか、「N
」で以前に構成したキャプチャ フィルターをそのまま使用します。
基本的なユース ケースのように、残りのプロンプトに進みます。
特定のコンポーネントの現在のキャプチャ フィルターを一覧表示する
センサー用に構成されている現在のキャプチャ フィルターの詳細を表示するには、次のコマンドを使用します。
User | コマンド | 完全なコマンド構文 |
---|---|---|
admin | 次のコマンドを使用して、各コンポーネントのキャプチャ フィルターを表示します。 - horizon: edit-config horizon_parser/horizon.properties - traffic-monitor: edit-config traffic_monitor/traffic-monitor - collector: edit-config dumpark.properties |
属性なし |
cyberx または admin root アクセス | 次のコマンドを使用して、各コンポーネントのキャプチャ フィルターを表示します。 -horizon: nano /var/cyberx/properties/horizon_parser/horizon.properties - traffic-monitor: nano /var/cyberx/properties/traffic_monitor/traffic-monitor.properties - collector: nano /var/cyberx/properties/dumpark.properties |
属性なし |
これらのコマンドを実行すると、次のファイルが開き、コンポーネントごとに構成されたキャプチャ フィルターが一覧表示されます。
名前 | ファイル | プロパティ |
---|---|---|
horizon | /var/cyberx/properties/horizon.properties |
horizon.processor.filter |
traffic-monitor | /var/cyberx/properties/traffic-monitor.properties |
horizon.processor.filter |
コレクタ | /var/cyberx/properties/dumpark.properties |
dumpark.network.filter |
たとえば、 admin ユーザーの場合、サブネット 192.168.x.x とポート 9000 を除外する collector コンポーネントに対してキャプチャ フィルターが定義されています。
root@xsense: edit-config dumpark.properties
GNU nano 2.9.3 /tmp/tmpevt4igo7/tmpevt4igo7
dumpark.network.filter=(((not (net 192.168))) and (not (tcp port 9000)) and (not
dumpark.network.snaplen=4096
dumpark.packet.filter.data.transfer=false
dumpark.infinite=true
dumpark.output.session=false
dumpark.output.single=false
dumpark.output.raw=true
dumpark.output.rotate=true
dumpark.output.rotate.history=300
dumpark.output.size=20M
dumpark.output.time=30S
すべてのキャプチャ フィルターをリセットする
次のコマンドを使用して、センサーを cyberx ユーザーと共に既定のキャプチャ構成にリセットし、すべてのキャプチャ フィルターを削除します。
User | コマンド | 完全なコマンド構文 |
---|---|---|
cyberx または admin root アクセス | cyberx-xsense-capture-filter -p all -m all-connected |
属性なし |
既存のキャプチャ フィルターを変更する場合は、新しい属性値を使用して、前のコマンドをもう一度実行します。
admin ユーザーを使用してすべてのキャプチャ フィルターをリセットするには、前の コマンドをもう一度実行し、すべてのプロトコルにN
応答してすべてのキャプチャ フィルターをリセットします。
次の例は、cyberx ユーザーのコマンド構文と応答を示しています。
root@xsense:/# cyberx-xsense-capture-filter -p all -m all-connected
starting "/usr/local/bin/cyberx-xsense-capture-filter -p all -m all-connected"
No include file given
No exclude file given
(000) ret #262144
(000) ret #262144
debug: set new filter for dumpark ''
No include file given
No exclude file given
(000) ret #262144
(000) ret #262144
debug: set new filter for traffic-monitor ''
No include file given
No exclude file given
(000) ret #262144
(000) ret #262144
debug: set new filter for horizon ''
root@xsense:/#