はじめに
FMC(Firepower Management Center) のトラブルシューティングにおいてパケットキャプチャが必要になる場合がございますが、Firepower や FTD(Firepower Threat Defense) で利用できる capture-traffic や capture コマンドが利用できないため、別の方法で取得する必要がございます。本 topic では、FMC 上でパケットキャプチャを取得する方法について紹介いたします。
※ 本コマンドは FMC へのパフォーマンスに影響を与える可能性があるため、実環境への適用は注意して実施ください。
※ 本 topic は FMC Virtual 6.2.0.2 で動作確認を行っております。
パケットキャプチャの方法
FMC の CLI 上で tcpdump コマンドを実行します。以下が取得例です。
admin@toishika-FMC4:~$ sudo tcpdump -i eth0
Password:
Last login: Sun Dec 24 07:01:01 UTC 2017 on cron
HS_PACKET_BUFFER_SIZE is set to 4.
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 96 bytes
07:53:09.675829 IP toishika-FMC4.ssh > xxxxxxx.cisco.com.53007: Flags [P.], ack 537701728, win 214, options [nop,nop,TS val 90532019 ecr 813580236], length 128
07:53:09.676376 IP toishika-FMC4.ssh > xxxxxxx.cisco.com.53007: Flags [P.], ack 1, win 214, options [nop,nop,TS val 90532019 ecr 813580236], length 128
-w オプションをつけないと FMC にかかる負荷が大きくなるため、以下のように -w <filename> をつけた形でパケットキャプチャを取得していただくことを推奨致します。
admin@toishika-FMC4:~$ sudo tcpdump -i eth0 -w test.pcap -s 1518
Last login: Sun Dec 24 07:53:09 UTC 2017 on pts/1
HS_PACKET_BUFFER_SIZE is set to 4.
tcpdump: listening on eth0, link-type EN10MB (Ethernet), capture size 1518 bytes
^C112 packets captured
113 packets received by filter
0 packets dropped by kernel
Ctrl + C で抜け、生成されたパケットキャプチャは /Volume/home/admin の下に保存されています。
admin@toishika-FMC4:~$ ls -l /Volume/home/admin/ | grep test
-rw-r--r-- 1 root root 59637 Dec 24 07:55 test.pcap
tcpdump のその他のオプションについては以下の記事を参考にして頂ければと思います。
外部への転送は、以下のように scp で行います。
admin@toishika-FMC4:~$ scp test.pcap toishika@1.150.0.30:
toishika@1.150.0.30's password:
test.pcap 100% 58KB 14.2MB/s 00:00
参考情報
以下の記事も合わせてご利用頂ければと思います。