• はじめに
• パケットキャプチャの方法
• 取得したパケットキャプチャの転送方法
• 参考情報

はじめに

FirePOWER のトラブルシューティングにおいて、シグネチャの False Positive やパフォーマンスの調査の際にパケットキャプチャが必要になる場合がございます。本 topic では、FirePOWER 上でパケットキャプチャを取得する方法について紹介いたします。

※ 本 topic は FPv 5.4.0.4 で動作確認を行っております。

※ 本コマンドは FirePOWER へのパフォーマンスに影響を与える可能性があるため、実環境への適用は注意して実施ください。

パケットキャプチャの方法

CLI 上の system support capture-traffic コマンドで取得します。以下が例となります。management interface の場合は 0(eth0) を、sensing interface の場合は 1 を選択します。

> system support capture-traffic 
Please choose domain to capture traffic from:
0 - eth0
1 - Default Inline Set  (Interfaces s2p1, s2p2)

上記選択後、以下のプロンプトが表示されます。

Please specify tcpdump options desired.
(or enter '?' for a list of supported options)
Options:

-w オプションをつけないとセンサーにかかる負荷が大きくなるため、以下のように -w <filename> をつけた形でパケットキャプチャを取得して頂いたほうが安全です。

-w capture.pcap -s 1518

※ 上記 capture.pcap に相当する filename を /var/tmp/capture.pcap のようなフルパスで指定しないでください。

取得したいパケット数を制限したい場合は -c オプションを利用してください。以下は取得するパケット数を 5000 にした例です。

-w capture.pcap -s 1518 -c 5000

送信元/送信先 IP アドレスを指定したい場合は host オプションを指定してください。以下は 192.0.2.1 を指定した例です。

-w capture.pcap -s 1518 -c 5000 host 192.0.2.1

取得したいパケットに VLAN タグが付いている場合は vlan オプションが必要になります。以下が例となります。

-w capture.pcap -s 1518 -c 5000 vlan and host 192.0.2.1

もし、取得したいパケットに VLAN タグが付いているか不明な場合、以下の形でコマンドを指定してください。

-w capture.pcap -s 1518 -c 5000 'host 192.0.2.1 or (vlan and host 192.0.2.1)'

上記 VLAN オプションだと全ての VLAN タグ付きパケットを取得するため、VLAN ID を指定したいときは以下の形で取得してください。

-w capture.pcap -s 1518 -c 5000 vlan 1 and host 192.0.2.1

上記のようにオプションを指定すれば、パケットキャプチャが開始されます。-c オプションを使用しない場合、Ctrl + c コマンドでパケットキャプチャを停止します。

以下がオプション指定、パケットキャプチャ開始、終了の例です。

Please specify tcpdump options desired.
(or enter '?' for a list of supported options)
Options: -w capture.pcap -s 1518 -c 5000 host 192.0.2.1 

Cleaning up. 
Done.

取得したパケットキャプチャの転送方法

取得したパケットキャプチャは以下の形で外部転送が可能です。

> system file secure-copy hostname username destination_directory pcap_file