Amazon IoT Device Defender - Amazon IoT Greengrass
版本类型操作系统要求依赖项配置输入数据输出数据本地日志文件许可证更改日志
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

Amazon IoT Device Defender

组 Amazon IoT Device Defender 件 (aws.greengrass.DeviceDefender) 会通知管理员有关 Greengrass 核心设备状态的变化。这有助于识别可能指示受损设备的异常行为。有关更多信息,请参阅 Amazon IoT Core 开发人员指南中的 Amazon IoT Device Defender

该组件读取核心设备上的系统指标。然后,将指标发布给 Amazon IoT Device Defender。有关如何阅读和解释此组件报告指标的更多信息,请参阅《Amazon IoT Core 开发人员指南》中的设备指标文档规范

注意

此组件提供的功能与中的 Device Defender 连接器类似 Amazon IoT Greengrass V1。有关更多信息,请参阅《Amazon IoT Greengrass V1 开发人员指南》中的 Device Defender 连接器

版本

此组件具有以下版本:

  • 3.1.x

  • 3.0.x

  • 2.0.x

有关每个组件版本中的更改的信息,请参阅更改日志

类型

v3.x

组件是一个通用组件 (aws.greengrass.generic)。Greengrass Nucleus 运行组件的生命周期脚本。

v2.x

组件是一个 Lambda 组件 (aws.greengrass.lambda)。Greengrass Nucleus 使用 Lambda 启动程序组件运行此组件的 Lambda 函数。

有关更多信息,请参阅 组件类型

操作系统

v3.x

此组件可以安装在运行以下操作系统的核心设备上:

  • Linux

  • Windows

v2.x

此组件只能安装在 Linux 核心设备上。

要求

此组件具有以下要求:

v3.x

  • Python 版本 3.7 已安装在核心设备上,并已添加到 PATH 环境变量中。

  • Amazon IoT Device Defender 配置为使用 “检测” 功能来监视违规行为。有关更多信息,请参阅 Amazon IoT Core 开发人员指南中的检测

v2.x

  • 您的核心设备必须满足运行 Lambda 函数的要求。如果您希望核心设备运行容器化 Lambda 函数,则设备必须满足相关要求。有关更多信息,请参阅 Lambda 函数要求

  • Python 版本 3.7 已安装在核心设备上,并已添加到 PATH 环境变量中。

  • Amazon IoT Device Defender 配置为使用 “检测” 功能来监视违规行为。有关更多信息,请参阅 Amazon IoT Core 开发人员指南中的检测

  • 安装在核心设备上的 psutil 库。版本 5.7.0 是经验证可与组件一起使用的最新版本。

  • 安装在核心设备上的 cbor 库。版本 1.0.0 是经验证可与组件一起使用的最新版本。

  • 要接收此组件的输出数据,在部署此组件时,必须合并旧版订阅路由器组件 (aws.greengrass.LegacySubscriptionRouter) 的以下配置更新。此配置指定此组件发布响应的主题。

    Legacy subscription router v2.1.xLegacy subscription router v2.0.x
    Legacy subscription router v2.1.x
    {
  "subscriptions": {
    "aws-greengrass-device-defender": {
      "id": "aws-greengrass-device-defender",
      "source": "component:aws.greengrass.DeviceDefender",
      "subject": "$aws/things/+/defender/metrics/json",
      "target": "cloud"
    }
  }
}
    Legacy subscription router v2.0.x
    {
  "subscriptions": {
    "aws-greengrass-device-defender": {
      "id": "aws-greengrass-device-defender",
      "source": "arn:aws:lambda:region:aws:function:aws-greengrass-device-defender:version",
      "subject": "$aws/things/+/defender/metrics/json",
      "target": "cloud"
    }
  }
}

    • region替换为您使用 Amazon Web Services 区域 的。

    • version替换为该组件运行的 Lambda 函数的版本。要查找 Lambda 函数版本,您必须查看要部署的此组件版本配方。在 Amazon IoT Greengrass 控制台中打开此组件的详细信息页面,然后查找 Lambda 函数键值对。此键值对包含 Lambda 函数的名称和版本。

    重要

    每次部署此组件时,都必须更新旧版订阅路由器上的 Lambda 函数版本。这样能够确保为部署的组件版本使用正确的 Lambda 函数版本。

    有关更多信息,请参阅 创建部署

依赖项

部署组件时, Amazon IoT Greengrass 还会部署其依赖项的兼容版本。这意味着您必须满足组件及其所有依赖关系的要求,才能成功部署组件。本部分列出了此组件的已发布版本的依赖关系,以及定义每个依赖关系的组件版本的语义版本约束。您还可以在 Amazon IoT Greengrass 控制台中查看每个组件版本的依赖关系。在组件详细信息页面上,查找依赖关系列表。

3.1.1

下表列出了此组件的版本 3.1.1 的依赖关系。

依赖关系 兼容版本 依赖关系类型
Greengrass Nucleus >=2.0.0 <3.0.0 软性
令牌交换服务 >=0.0.0 硬性
3.0.0 - 3.0.2

下表列出了此组件的版本 3.0.0 至 3.0.2 的依赖关系。

依赖关系 兼容版本 依赖关系类型
Greengrass Nucleus >=2.0.0 <3.0.0 软性
令牌交换服务 >=0.0.0 硬性
2.0.12 - 2.0.17

下表列出了此组件版本 2.0.12 到 2.0.17 的依赖关系。

依赖关系 兼容版本 依赖关系类型
Greengrass Nucleus >=2.0.0 <3.0.0 硬性
Lambda 启动程序 ^2.0.0 硬性
Lambda 运行时 ^2.0.0 软性
令牌交换服务 ^2.0.0 硬性
2.0.12 - 2.0.16

下表列出了此组件的版本 2.0.16 的依赖关系。

依赖关系 兼容版本 依赖关系类型
Greengrass Nucleus >=2.0.0 <3.0.0 硬性
Lambda 启动程序 ^2.0.0 硬性
Lambda 运行时 ^2.0.0 软性
令牌交换服务 ^2.0.0 硬性
2.0.10 - 2.0.11

下表列出了此组件的版本 2.0.10 和 2.0.11 的依赖关系。

依赖关系 兼容版本 依赖关系类型
Greengrass Nucleus >=2.0.0 <2.8.0 硬性
Lambda 启动程序 ^2.0.0 硬性
Lambda 运行时 ^2.0.0 软性
令牌交换服务 ^2.0.0 硬性
2.0.9

下表列出了此组件的版本 2.0.9 的依赖关系。

依赖关系 兼容版本 依赖关系类型
Greengrass Nucleus >=2.0.0 <2.7.0 硬性
Lambda 启动程序 ^2.0.0 硬性
Lambda 运行时 ^2.0.0 软性
令牌交换服务 ^2.0.0 硬性
2.0.8

下表列出了此组件的版本 2.0.8 的依赖关系。

依赖关系 兼容版本 依赖关系类型
Greengrass Nucleus >=2.0.0 <2.6.0 硬性
Lambda 启动程序 ^2.0.0 硬性
Lambda 运行时 ^2.0.0 软性
令牌交换服务 ^2.0.0 硬性
2.0.7

下表列出了此组件的版本 2.0.7 的依赖关系。

依赖关系 兼容版本 依赖关系类型
Greengrass Nucleus >=2.0.0 <2.5.0 硬性
Lambda 启动程序 ^2.0.0 硬性
Lambda 运行时 ^2.0.0 软性
令牌交换服务 ^2.0.0 硬性
2.0.6

下表列出了此组件的版本 2.0.6 的依赖关系。

依赖关系 兼容版本 依赖关系类型
Greengrass Nucleus >=2.0.0 <2.4.0 硬性
Lambda 启动程序 ^2.0.0 硬性
Lambda 运行时 ^2.0.0 软性
令牌交换服务 ^2.0.0 硬性
2.0.5

下表列出了此组件的版本 2.0.5 的依赖关系。

依赖关系 兼容版本 依赖关系类型
Greengrass Nucleus >=2.0.0 <2.3.0 硬性
Lambda 启动程序 ^2.0.0 硬性
Lambda 运行时 ^2.0.0 软性
令牌交换服务 ^2.0.0 硬性
2.0.4

下表列出了此组件的版本 2.0.4 的依赖关系。

依赖关系 兼容版本 依赖关系类型
Greengrass Nucleus >=2.0.0 <2.2.0 硬性
Lambda 启动程序 ^2.0.0 硬性
Lambda 运行时 ^2.0.0 软性
令牌交换服务 ^2.0.0 硬性
2.0.3

下表列出了此组件的版本 2.0.3 的依赖关系。

依赖关系 兼容版本 依赖关系类型
Greengrass Nucleus >=2.0.3 <2.1.0 硬性
Lambda 启动程序 >=1.0.0 硬性
Lambda 运行时 >=1.0.0 软性
令牌交换服务 >=1.0.0 硬性

有关组件依赖关系的更多信息,请参阅组件配方参考

配置

此组件提供您可以在部署组件时自定义的以下配置参数。

v3.x
PublishRetryCount

重试发布的次数。此功能仅在版本 3.1.1 中可用。

最小值为 0。

最大值为 72。

默认:5

SampleIntervalSeconds

(可选)组件收集和报告指标的每个周期间隔的时间(以秒为单位)。

最小值为 300 秒 (5 分钟)。

默认值:300 秒

UseInstaller

(可选)布尔值,用于定义是否使用此组件中的安装程序脚本来安装此组件的依赖关系。

如果您想使用自定义脚本来安装依赖关系,或者想要在预构建的 Linux 映像中包含运行时依赖关系,请将此值设置为 false。要使用此组件,必须安装以下库(包括所有依赖关系),并使其可供默认 Greengrass 系统用户使用。

注意

如果您在配置为使用 HTTPS 代理的核心设备上使用此组件的 3.0.0 或 3.0.1 版本,则必须将此值设置为 false。在此组件的这些版本中,安装程序脚本不支持在 HTTPS 代理后操作。

默认值:true

v2.x
注意

此组件的默认配置包括 Lambda 函数参数。我们建议您只编辑以下参数,以便在您的设备上配置此组件。

lambdaParams

包含此组件的 Lambda 函数参数的对象。该对象包含以下信息:

EnvironmentVariables

包含 Lambda 函数的参数的对象。该对象包含以下信息:

PROCFS_PATH

(可选)/proc 文件夹的路径。

  • 要在容器中运行此组件,请使用默认值 /host-proc。默认情况下,此组件在容器中运行。

  • 要在无容器模式下运行此组件,请为此参数指定 /proc

默认值:/host-proc。这是此组件在容器中挂载 /proc 文件夹的默认路径。

注意

此组件拥有对此文件夹的只读访问权限。

SAMPLE_INTERVAL_SECONDS

(可选)组件收集和报告指标的每个周期间隔的时间(以秒为单位)。

最小值为 300 秒 (5 分钟)。

默认值:300 秒

containerMode

(可选)此组件的容器化模式。从以下选项中进行选择:

  • GreengrassContainer— 该组件在 Amazon IoT Greengrass 容器内的隔离运行时环境中运行。

  • NoContainer – 该组件不在隔离的运行时环境中运行。

    如果指定此选项,则必须为 PROCFS_PATH 环境变量参数指定 /proc

默认值:GreengrassContainer

containerParams

(可选)包含此组件的容器参数的对象。如果您为 containerMode 指定 GreengrassContainer,则该组件使用这些参数。

该对象包含以下信息:

memorySize

(可选)要分配给组件的内存量(以千字节为单位)。

默认为 50000 KB。

pubsubTopics

(可选)包含组件订阅以接收消息的主题的对象。您可以指定每个主题以及该组件是订阅来自的 MQTT 主题 Amazon IoT Core 还是本地发布/订阅主题。

该对象包含以下信息:

0 – 这是字符串形式的数组索引。

包含以下信息的对象:

type

(可选)此组件用来订阅消息的发布/订阅消息收发的类型。从以下选项中进行选择:

  • PUB_SUB – 订阅本地发布/订阅消息。如果选择此选项,主题不能包含 MQTT 通配符。有关在指定此选项时如何从自定义组件发送消息的更多信息,请参阅 发布/订阅本地消息

  • IOT_CORE— 订阅 Amazon IoT Core MQTT 消息。如果选择此选项,主题可以包含 MQTT 通配符。有关在指定此选项时如何从自定义组件发送消息的更多信息,请参阅 发布/订阅 Amazon IoT Core MQTT 消息

默认值:PUB_SUB

topic

(可选)组件订阅以接收消息的主题。如果您为 type 指定 IotCore,则可以在本主题中使用 MQTT 通配符(+#)。

例 示例:配置合并更新(容器模式)
{
  "lambdaExecutionParameters": {
    "EnvironmentVariables": {
      "PROCFS_PATH": "/host_proc"
    }
  },
  "containerMode": "GreengrassContainer"
}
例 示例:配置合并更新(无容器模式)
{
  "lambdaExecutionParameters": {
    "EnvironmentVariables": {
      "PROCFS_PATH": "/proc"
    }
  },
  "containerMode": "NoContainer"
}

输入数据

此组件不接受消息作为输入数据。

输出数据

此组件将安全指标发布到以下保留主题 Amazon IoT Device Defender。在发布指标时coreDeviceName,此组件将替换为核心设备的名称。

主题 (Amazon IoT Core MQTT):$aws/things/coreDeviceName/defender/metrics/json

例 示例输出
{
  "header": {
    "report_id": 1529963534,
    "version": "1.0"
  },
  "metrics": {
    "listening_tcp_ports": {
      "ports": [
        {
          "interface": "eth0",
          "port": 24800
        },
        {
          "interface": "eth0",
          "port": 22
        },
        {
          "interface": "eth0",
          "port": 53
        }
      ],
      "total": 3
    },
    "listening_udp_ports": {
      "ports": [
        {
          "interface": "eth0",
          "port": 5353
        },
        {
          "interface": "eth0",
          "port": 67
        }
      ],
      "total": 2
    },
    "network_stats": {
      "bytes_in": 1157864729406,
      "bytes_out": 1170821865,
      "packets_in": 693092175031,
      "packets_out": 738917180
    },
    "tcp_connections": {
      "established_connections":{
        "connections": [
          {
            "local_interface": "eth0",
            "local_port": 80,
            "remote_addr": "192.168.0.1:8000"
          },
          {
            "local_interface": "eth0",
            "local_port": 80,
            "remote_addr": "192.168.0.1:8000"
          }
        ],
        "total": 2
      }
    }
  }
}

有关此组件报告指标的更多信息,请参阅《Amazon IoT Core 开发人员指南》中的设备指标文档规范

本地日志文件

此组件使用以下日志文件。

Linux
/greengrass/v2/logs/aws.greengrass.DeviceDefender.log
Windows
C:\greengrass\v2\logs\aws.greengrass.DeviceDefender.log
查看此组件的日志

  • 在核心设备上运行以下命令可实时查看此组件的日志文件。将/greengrass/v2C:\greengrass\v2替换为 Amazon IoT Greengrass 根文件夹的路径。

    Linux
    sudo tail -f /greengrass/v2/logs/aws.greengrass.DeviceDefender.log
    Windows (PowerShell)
    Get-Content C:\greengrass\v2\logs\aws.greengrass.DeviceDefender.log -Tail 10 -Wait

许可证

此组件在 Greengrass Core 软件许可协议下发行。

更改日志

下表介绍每个组件版本的更改。

v3.x

版本

更改

3.1.1
错误修复和改进

  • 添加网络中断后连接无法恢复时客户端重试连接的次数。

  • 为发布指标添加可配置的重试功能。

3.1.0
错误修复和改进

3.0.1

修复了组件如何计算指标增量值的问题。

3.0.0
警告

此版本不再可用。此版本的改进将在此组件的更高版本中提供。

初始版本。
v2.x

版本

更改

2.0.17

Greengrass nucleus 版本 2.14.0 版本的版本已更新。

2.0.16

对 Greengrass Nucleus 版本 2.13.0 发行版进行了版本更新。

2.0.11

版本更新为 Greengrass Nucleus 版本 2.11.0 发布版。

2.0.10

版本更新为 Greengrass Nucleus 版本 2.7.0 发布版。

2.0.9

版本更新为 Greengrass Nucleus 版本 2.6.0 发布版。

2.0.8

版本更新为 Greengrass Nucleus 版本 2.5.0 发布版。

2.0.7

版本更新为 Greengrass Nucleus 版本 2.4.0 发布版。

2.0.6

版本更新为 Greengrass Nucleus 版本 2.3.0 发布版。

2.0.5

对 Greengrass Nucleus 版本 2.2.0 发行版进行了版本更新。

2.0.4

对 Greengrass Nucleus 版本 2.1.0 发行版进行了版本更新。

2.0.3

初始版本。