Vous pouvez créer un fichier de traçage à partir du gestionnaire de Gateway Web ou à partir de la ligne de commande appliance (CLI).
Gestionnaire de Gateway Web :
- Connectez-vous au gestionnaire de Gateway Web et accédez à Procédures, Traçage de paquets.
- Dans la zone paramètres de ligne de commande, entrez les paramètres requis pour filtrer le vidage.
Cette action vous permet de collecter uniquement les informations nécessaires et d’éviter que le vidage ne devient trop volumineux.
Veuillez La taille du fichier de vidage créée sur l’interface utilisateur est limitée à 200 000 paquets.
- Activez tcpdump Rechercher.
- Reproduisez le problème.
- Une fois le problème reproduit, arrêtez la capture.
Ligne de commande :
- Connectez-vous au Web Gateway appliance CLI à l’aide de SSH.
- Accédez au dossier tcpdump :
Type CD/opt/MWG/log/Debug/tcpdump et appuyez sur entrée.
- Démarrez le tcpdump :
Type tcpdump-s 0-i any-w SR-Number_dump. PCAP et appuyez sur entrée.
- Reproduisez le problème.
- Une fois le problème reproduit, arrêtez la capture en appuyant sur Ctrl + C.
- Vous pouvez télécharger le fichier à l’aide de FTP ou de l’interface utilisateur dans la Procédures, Traçage de paquets section.
Liste des paramètres courants :
Échéant |
Comment |
Description |
interface-i |
-i les |
Écouter sur une ou plusieurs interfaces définies |
-s snaplen |
-s 0 |
Définir les octets des données de chaque paquet
Veuillez 0 signifie tous. |
ClientIP hôte |
hote 192.168.0.2 |
Uniquement les paquets Sniffer depuis ou vers un certain hôte |
Port de port |
port 53 |
Uniquement les paquets Sniffer avec un port spécifié en tant que port source ou de destination |
Veuillez Les pages man contiennent toutes les options disponibles et peuvent être consultées par
tcpdump Man.
Exemple d’utilisation des cas :
- Capturez l’ensemble du trafic réseau sur le Gateway Web avec des paquets complets :
-s 0-i any
- Capturez uniquement le trafic depuis ou vers un client spécifique avec des paquets complets :
-s 0-i n’importe quel hôte clientIP
- Capturez le trafic d’un clientIP spécifique, des données depuis/vers le contrôleur de domaine et le trafic DNS pour analyser les problèmes d’authentification :
-s 0-i tous les hôtes clientIP ou port 445 ou port 53
Retours enchaînés pour les problèmes intermittents
Certains problèmes peuvent sembler sporadiques et il sera difficile de les reproduire lors de la création de tcpdump. Vous pouvez créer des captures propagées sur une longue période jusqu’à ce que le problème se reproduise.
Échéant |
Comment |
Description |
-Taille du fichier C |
-C 100 |
Spécifier une taille de fichier maximale en Mo |
-W nombre de fichiers |
-W 20 |
Nombre maximal de fichiers à conserver |
-G secondes |
-G 10 |
Fait pivoter le fichier de vidage toutes les X secondes |
Pour créer des captures propagées pour les problèmes d’authentification
Veuillez Dans l’exemple ci-dessous, vous aurez besoin de 2 Go d’espace disponible sur
/var
- Connectez-vous au Web Gateway appliance CLI à l’aide de SSH.
- Accédez à la page /var arborescence
Type CD/var et appuyez sur entrée.
- Vérifiez que vous disposez de suffisamment d’espace libre :
Type DF-k et appuyez sur entrée.
- Démarrez les captures de déroulement :
Type nohup tcpdump-Z root-s 0-i n’importe quel port 445 ou port 53-C 100-W 20-w capturefilename. PCAP & et appuyez deux fois sur entrée.
Veuillez Cet exemple filtre le trafic sur les ports 445 et 53. Ces données sont utiles pour résoudre les problèmes AD l’adhésion à un domaine et l’authentification sur les Gateway Web.
Analyse de commandes tcpdump avec Wireshark
Commandes tcpdump peut être analysé à l’aide de l’outil
Wireshark. Voici quelques exemples de la façon dont vous pouvez filtrer le vidage pour voir le trafic que vous souhaitez voir.
Veuillez Vous pouvez utiliser Wireshark pour créer des commandes tcpdump sur le client.
Automatiques |
Description |
IP. addr |
Filtres pour une adresse IP spécifique |
TCP. port |
Filtres pour le port TCP |
TCP. Stream |
Filtres pour un flux TCP spécifique, créés automatiquement si vous suivez un flux TCP |
ETH. addr |
Filtres pour une adresse physique |
Opérateur |
Description |
= = ou Egalis |
Est égal à |
|| Or Or |
L’un des paramètres doit être appliqué |
&& Or et |
Les deux paramètres doivent correspondre |
!= Or neq |
N’est pas égal à la valeur |
Vous pouvez également filtrer certains protocoles :
Protocol |
Description |
DNS |
Filtres pour le trafic DNS |
http |
Filtres pour le trafic http |
trafic |
Filtres pour le trafic SSL |
NTLMSSP |
Filtres pour le trafic NTLM |
LADP |
Filtres pour le trafic LDAP |
Protocole |
Filtres pour le trafic ICAP |