内容安全设备常见问题：如何在思科内容安全设备上执行数据包捕获？

简介

本文档介绍如何在思科内容安全设备上执行数据包捕获。

先决条件

要求

Cisco 建议您了解以下主题：

• 思科邮件安全设备(ESA)
• 思科网络安全设备(WSA)
• 思科安全管理设备(SMA)
• AsyncOS

使用的组件

本文档中的信息基于AsyncOS的所有版本。

本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始（默认）配置。如果您使用的是真实网络，请确保您已经了解所有命令的潜在影响。

如何在思科内容安全设备上执行数据包捕获？

要使用GUI执行数据包捕获(tcpdump 命令)，请完成以下步骤：

1. 在GUI上导航到帮助和支持>数据包捕获。
   
   
2. 根据需要编辑数据包捕获设置，例如运行数据包捕获的网络接口。可以使用其中一个预定义过滤器，也可以使用Unix tcpdump命令支持的任何语法创建自定义过滤器。
   
   
3. 单击Start Capture以开始捕获。
   
   
4. 单击Stop Capture以结束捕获。
   
   
5. 下载数据包捕获。

要使用CLI执行数据包捕获(tcpdump 命令)，请完成以下步骤：

1. 在CLI中输入以下命令：
   
   

   wsa.run> packetcapture
   
   Status: No capture running
   
   
   Current Settings:
   
    Max file size:      200 MB
   
    Capture Limit:      None (Run Indefinitely)
   
    Capture Interfaces: Management
   
    Capture Filter:     (tcp port 80 or tcp port 3128)

2. 选择要执行的操作：
   
   

   - START - Start packet capture.
   
   - SETUP - Change packet capture settings.
   
   []> setup

3. 输入允许的最大捕获文件大小(MB)：
   
   

   [200]> 200
   
   Do you want to stop the capture when the file size is reached? (If not, a new
    file will be started and the older capture data will be discarded.)
   
   [N]> n
   
   The following interfaces are configured:
   
   1. Management
   
   2. T1
   
   3. T2

4. 输入要从中捕获数据包的一个或多个接口的名称或编号，用逗号分隔：
   
   

   [1]> 1

5. 输入要用于捕获的过滤器。输入单词CLEAR以清除过滤器并捕获选定接口上的所有数据包。
   
   

   [(tcp port 80 or tcp port 3128)]> host 10.10.10.10 && port 80
   
   
   Status: No capture running
   
   
   Current Settings:
   
    Max file size:      200 MB
   
    Capture Limit:      None (Run Indefinitely)
   
    Capture Interfaces: Management
   
    Capture Filter:     host 10.10.10.10 && port 80

6. 选择start操作以开始捕获：
   
   

   - START - Start packet capture.
   
   - SETUP - Change packet capture settings.
   
   []> start
   
   
   Status: Capture in progress (Duration: 0s)
   
   File Name: S650-00137262569A-8RVFDB1-20080919-174302.cap (Size: 0K)
   
   
   Current Settings:
   
    Max file size:      200 MB
   
    Capture Limit:      None (Run Indefinitely)
   
    Capture Interfaces: Management
   
    Capture Filter:     host 10.10.10.10 && port 80

7. 选择stop操作以结束捕获：
   
   

   - STOP - Stop packet capture.
   
   - STATUS - Display current capture status.
   
   - SETUP - Change packet capture settings.
   
   []> stop
   
   
   Status: No capture running (Capture stopped by user)
   
   
   Current Settings:
   
    Max file size:      200 MB
   
    Capture Limit:      None (Run Indefinitely)
   
    Capture Interfaces: Management
   
    Capture Filter:     host 10.10.10.10 && port 80