show capture
在未指定选项时显示捕获配置,请使用 show capture 命令。
show capture [ capture_name] [ access-list access_list_name] [ count number] [ decode] [ detail] [ dump] [ packet-number number] [ trace]
Syntax Description
access-list access_list_name |
(可选)显示基于用于标识特定访问列表的 IP 或较高字段的数据包的信息。 |
capture_name |
(可选)指定数据包捕获的名称。 |
count number |
(可选)显示数据包指定的数据的数量。有效值为 0 到 4294967295。 |
decode |
当类型 ISAKMP 的捕获应用于接口时,此选项非常有用。在解密后会捕获流过该接口的所有 ISAKMP 数据,并在解码字段后展示更多信息。 |
detail |
(可选)显示每个数据包的附加协议信息。 |
dump |
(可选)显示通过数据链路传输的数据包的十六进制转储。 |
packet-number number |
(可选)以指定的数据包编号开始显示。有效值为 0 到 4294967295。 |
trace |
(可选)显示每个数据包的扩展跟踪信息 - 如果使用上述 trace 关键字设置了捕获,则会显示入站方向上每个数据包的数据包跟踪器的输出。 |
Command History
版本 |
修改 |
---|---|
6.1 |
引入了此命令。 |
7.2.6 7.4.1 |
物理端口的 show capture detail 输出会显示丢弃配置(disable 或 mac-filter)。 |
Usage Guidelines
如果指定捕获名称,则显示该捕获的捕获缓冲区内容。
dump 关键字不显示十六进制转储中的 MAC 信息。
数据包的解码输出取决于数据包的协议。在下表中,当您指定 detail 关键字时,会显示括号内的输出。
数据包类型 |
捕获输出格式 |
---|---|
802.1Q |
HH:MM:SS.ms [ether-hdr] VLAN-info encap-ether-packet |
ARP |
HH:MM:SS.ms [ether-hdr] arp-type arp-info |
IP/ICMP |
HH:MM:SS.ms [ether-hdr] ip-source > ip-destination: icmp: icmp-type icmp-code [checksum-failure] |
IP/UDP |
HH:MM:SS.ms [ether-hdr] src-addr.src-port dest-addr.dst-port: [checksum-info] udp payload-len |
IP/TCP |
HH:MM:SS.ms [ether-hdr] src-addr.src-port dest-addr.dst-port: tcp-flags [header-check] [checksum-info] sequence-number ack-number tcp-window urgent-info tcp-options |
IP/Other |
HH:MM:SS.ms [ether-hdr] src-addr dest-addr: ip-protocol ip-length |
其他 |
HH:MM:SS.ms ether-hdr: hex-dump |
如果 威胁防御 设备收到的数据包带有格式不正确的 TCP 信头,并因 ASP 丢弃原因 invalid-tcp-hdr-length 而丢弃这些数据包,则接收这些数据包的接口上的 show capture 命令输出不会显示这些数据包。
注 |
使用文件大小选项时:
|
Examples
此示例展示如何显示捕获配置:
> show capture
capture arp ethernet-type arp interface outside
capture http access-list http packet-length 74 interface inside
此示例展示如何显示 ARP 捕获捕获的数据包:
> show capture arp
2 packets captured
19:12:23.478429 arp who-has 171.69.38.89 tell 171.69.38.10
19:12:26.784294 arp who-has 171.69.38.89 tell 171.69.38.10
2 packets shown
以下示例展示如何显示在一个集群技术环境中的单个设备上捕获的数据包:
> show capture
capture 1 cluster type raw-data interface primary interface cluster [Buffer Full - 524187 bytes]
capture 2 type raw-data interface cluster [Capturing - 232354 bytes]
以下示例展示如何显示在一个集群技术环境中的所有设备上捕获的数据包:
> cluster exec show capture
mycapture (LOCAL):----------------------------------------------------------
capture 1 type raw-data interface primary [Buffer Full - 524187 bytes]
capture 2 type raw-data interface cluster [Capturing - 232354 bytes]
yourcapture:----------------------------------------------------------------
capture 1 type raw-data interface primary [Capturing - 191484 bytes]
capture 2 type raw-data interface cluster [Capturing - 532354 bytes]
以下示例展示已在接口上启用 SGT 和以太网标记时捕获的数据包:
> show capture my-inside-capture
1: 11:34:42.931012 INLINE-TAG 36 10.0.101.22 > 11.0.101.100: icmp: echo request
2: 11:34:42.931470 INLINE-TAG 48 11.0.101.100 > 10.0.101.22: icmp: echo reply
3: 11:34:43.932553 INLINE-TAG 36 10.0.101.22 > 11.0.101.100: icmp: echo request
4: 11.34.43.933164 INLINE-TAG 48 11.0.101.100 > 10.0.101.22: icmp: echo reply
已在接口上启用 SGT 和以太网标记时,该接口仍可收到标记或取消标记的数据包。展示的示例用于标记的数据包,该数据包在输出中具有 INLINE-TAG 36。当同一接口收到取消标记的数据包时,输出保持不变(即输出中不包括任何“INLINE-TAG 36”条目)。
以下示例显示了启用 mac-filter drop 的 Cisco Secure Firewall 3100 设备数据包捕获的硬件日志:
firepower-3110(local-mgmt)# show portmanagerswitch pktcap-rules hardware
Hardware DB rule:1
Hw_index= 6150
Rule_id= 6144
CounterIndex= 0
Packet_count= 1448
Slot= 1
Interface= 1
Protocol= 0
Ethertype= 0x0000V
lan= 3178
SrcPort= 0
DstPort= 0
SrcIp= 0.0.0.0
DstIp= 0.0.0.0
SrcIpv6= ::
DestIpv6= ::
SrcMacAddr= 00:00:00:00:00:00
DestMacAddr= 00:00:00:00:00:00
此处为 mac-filter drop 硬件条目分配了硬件计数器索引 0。此外,mac-filter 丢弃的数据包也包含在数据包计数中。
以下示例显示 Cisco Secure Firewall 3100 设备在启用了 mac-filter drop 的数据包捕获时的硬件日志:
firepower-3110(local-mgmt)# show portmanagerswitch pktcap-rules software
Software DB rule:1
Slot= 1
Interface= 1
Breakout-port= 0
Protocol= 0
Ethertype= 0x0000
Filter_key= 0x00000200
Session= 4
Vlan= 3178
SrcPort= 0
DstPort= 0
SrcIp= 0.0.0.0
DstIp= 0.0.0.0
SrcIpv6= ::
DestIpv6= ::
SrcMacAddr= 00:00:00:00:00:00
DestMacAddr= 00:00:00:00:00:00
DropFilterEnabled= 1