Einleitung
In diesem Dokument wird beschrieben, wie die Paketerfassung auf den Cisco Content Security Appliances durchgeführt wird.
Voraussetzungen
Anforderungen
Cisco empfiehlt, dass Sie über Kenntnisse in folgenden Bereichen verfügen:
- Cisco E-Mail Security Appliance (ESA)
- Cisco Web Security Appliance (WSA)
- Cisco Security Management Appliance (SMA)
- AsyncOS
Verwendete Komponenten
Die Informationen in diesem Dokument basieren auf allen Versionen von AsyncOS.
Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netz Live ist, überprüfen Sie, ob Sie die mögliche Auswirkung jedes möglichen Befehls verstehen.
Wie führen Sie eine Paketerfassung auf einer Cisco Content Security Appliance durch?
Führen Sie die folgenden Schritte aus, um eine Paketerfassung (tcpdump-Befehl) über die Benutzeroberfläche durchzuführen:
- Navigieren Sie in der GUI zu Hilfe und Support > Packet Capture (Paketerfassung).
- Bearbeiten Sie die Paketerfassungseinstellungen nach Bedarf, z. B. die Netzwerkschnittstelle, auf der die Paketerfassung ausgeführt wird. Sie können einen der vordefinierten Filter verwenden oder einen benutzerdefinierten Filter mit einer beliebigen Syntax erstellen, die vom Unix-Befehl tcpdump unterstützt wird.
- Klicken Sie auf Erfassung starten, um die Erfassung zu starten.
- Klicken Sie auf Erfassung beenden, um die Erfassung zu beenden.
- Die Paketerfassung herunterladen
Gehen Sie wie folgt vor, um eine Paketerfassung (tcpdump-Befehl) über die CLI durchzuführen:
- Geben Sie den folgenden Befehl in die CLI ein:
wsa.run> packetcapture
Status: No capture running
Current Settings:
Max file size: 200 MB
Capture Limit: None (Run Indefinitely)
Capture Interfaces: Management
Capture Filter: (tcp port 80 or tcp port 3128)
- Wählen Sie den Vorgang aus, den Sie ausführen möchten:
- START - Start packet capture.
- SETUP - Change packet capture settings.
[]> setup
- Geben Sie die maximal zulässige Größe für die Erfassungsdatei (in MB) ein:
[200]> 200
Do you want to stop the capture when the file size is reached? (If not, a new
file will be started and the older capture data will be discarded.)
[N]> n
The following interfaces are configured:
1. Management
2. T1
3. T2
- Geben Sie den Namen oder die Nummer einer oder mehrerer Schnittstellen ein, von denen Pakete erfasst werden sollen, getrennt durch Kommas:
[1]> 1
- Geben Sie den Filter ein, den Sie für die Erfassung verwenden möchten. Geben Sie das Wort CLEAR ein, um den Filter zu löschen und alle Pakete auf den ausgewählten Schnittstellen zu erfassen.
[(tcp port 80 or tcp port 3128)]> host 10.10.10.10 && port 80
Status: No capture running
Current Settings:
Max file size: 200 MB
Capture Limit: None (Run Indefinitely)
Capture Interfaces: Management
Capture Filter: host 10.10.10.10 && port 80
- Wählen Sie den Startvorgang aus, um die Erfassung zu starten:
- START - Start packet capture.
- SETUP - Change packet capture settings.
[]> start
Status: Capture in progress (Duration: 0s)
File Name: S650-00137262569A-8RVFDB1-20080919-174302.cap (Size: 0K)
Current Settings:
Max file size: 200 MB
Capture Limit: None (Run Indefinitely)
Capture Interfaces: Management
Capture Filter: host 10.10.10.10 && port 80
- Wählen Sie den Stopp-Vorgang, um die Erfassung zu beenden:
- STOP - Stop packet capture.
- STATUS - Display current capture status.
- SETUP - Change packet capture settings.
[]> stop
Status: No capture running (Capture stopped by user)
Current Settings:
Max file size: 200 MB
Capture Limit: None (Run Indefinitely)
Capture Interfaces: Management
Capture Filter: host 10.10.10.10 && port 80