简介
本文档介绍如何在思科内容安全设备上执行数据包捕获。
先决条件
要求
Cisco 建议您了解以下主题:
- 思科邮件安全设备(ESA)
- 思科网络安全设备(WSA)
- 思科安全管理设备(SMA)
- AsyncOS
使用的组件
本文档中的信息基于AsyncOS的所有版本。
本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您使用的是真实网络,请确保您已经了解所有命令的潜在影响。
如何在思科内容安全设备上执行数据包捕获?
要使用GUI执行数据包捕获(tcpdump 命令),请完成以下步骤:
- 在GUI上导航到帮助和支持>数据包捕获。
- 根据需要编辑数据包捕获设置,例如运行数据包捕获的网络接口。可以使用其中一个预定义过滤器,也可以使用Unix tcpdump命令支持的任何语法创建自定义过滤器。
- 单击Start Capture以开始捕获。
- 单击Stop Capture以结束捕获。
- 下载数据包捕获。
要使用CLI执行数据包捕获(tcpdump 命令),请完成以下步骤:
- 在CLI中输入以下命令:
wsa.run> packetcapture
Status: No capture running
Current Settings:
Max file size: 200 MB
Capture Limit: None (Run Indefinitely)
Capture Interfaces: Management
Capture Filter: (tcp port 80 or tcp port 3128)
- 选择要执行的操作:
- START - Start packet capture.
- SETUP - Change packet capture settings.
[]> setup
- 输入允许的最大捕获文件大小(MB):
[200]> 200
Do you want to stop the capture when the file size is reached? (If not, a new
file will be started and the older capture data will be discarded.)
[N]> n
The following interfaces are configured:
1. Management
2. T1
3. T2
- 输入要从中捕获数据包的一个或多个接口的名称或编号,用逗号分隔:
[1]> 1
- 输入要用于捕获的过滤器。输入单词CLEAR以清除过滤器并捕获选定接口上的所有数据包。
[(tcp port 80 or tcp port 3128)]> host 10.10.10.10 && port 80
Status: No capture running
Current Settings:
Max file size: 200 MB
Capture Limit: None (Run Indefinitely)
Capture Interfaces: Management
Capture Filter: host 10.10.10.10 && port 80
- 选择start操作以开始捕获:
- START - Start packet capture.
- SETUP - Change packet capture settings.
[]> start
Status: Capture in progress (Duration: 0s)
File Name: S650-00137262569A-8RVFDB1-20080919-174302.cap (Size: 0K)
Current Settings:
Max file size: 200 MB
Capture Limit: None (Run Indefinitely)
Capture Interfaces: Management
Capture Filter: host 10.10.10.10 && port 80
- 选择stop操作以结束捕获:
- STOP - Stop packet capture.
- STATUS - Display current capture status.
- SETUP - Change packet capture settings.
[]> stop
Status: No capture running (Capture stopped by user)
Current Settings:
Max file size: 200 MB
Capture Limit: None (Run Indefinitely)
Capture Interfaces: Management
Capture Filter: host 10.10.10.10 && port 80