Erfassung und Fehlerbehebung von Paketerfassungen auf der Cisco ESA

Download-Optionen

  • PDF     (268.4 KB)
    Mit Adobe Reader auf verschiedenen Geräten anzeigen
  • ePub     (86.4 KB)
    In verschiedenen Apps auf iPhone, iPad, Android, Sony Reader oder Windows Phone anzeigen
  • Mobi (Kindle)     (75.8 KB)
    Auf einem Kindle-Gerät oder einer Kindle-App auf mehreren Geräten anzeigen
Aktualisiert:22. Februar 2026
Dokument-ID:117797

Inklusive Sprache

In dem Dokumentationssatz für dieses Produkt wird die Verwendung inklusiver Sprache angestrebt. Für die Zwecke dieses Dokumentationssatzes wird Sprache als „inklusiv“ verstanden, wenn sie keine Diskriminierung aufgrund von Alter, körperlicher und/oder geistiger Behinderung, Geschlechtszugehörigkeit und -identität, ethnischer Identität, sexueller Orientierung, sozioökonomischem Status und Intersektionalität impliziert. Dennoch können in der Dokumentation stilistische Abweichungen von diesem Bemühen auftreten, wenn Text verwendet wird, der in Benutzeroberflächen der Produktsoftware fest codiert ist, auf RFP-Dokumentation basiert oder von einem genannten Drittanbieterprodukt verwendet wird. Hier erfahren Sie mehr darüber, wie Cisco inklusive Sprache verwendet.

Informationen zu dieser Übersetzung

Cisco hat dieses Dokument maschinell übersetzen und von einem menschlichen Übersetzer editieren und korrigieren lassen, um unseren Benutzern auf der ganzen Welt Support-Inhalte in ihrer eigenen Sprache zu bieten. Bitte beachten Sie, dass selbst die beste maschinelle Übersetzung nicht so genau ist wie eine von einem professionellen Übersetzer angefertigte. Cisco Systems, Inc. übernimmt keine Haftung für die Richtigkeit dieser Übersetzungen und empfiehlt, immer das englische Originaldokument (siehe bereitgestellter Link) heranzuziehen.

    Einleitung

    In diesem Dokument wird beschrieben, wie die Paketerfassung auf der Cisco E-Mail Security Appliance (ESA) zur Fehlerbehebung im Netzwerk konfiguriert und erfasst wird.

    Verwendete Komponenten

    Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netzwerk in Betrieb ist, stellen Sie sicher, dass Sie die möglichen Auswirkungen aller Befehle kennen.

    Wichtige Risiken und Voraussetzungen

    • Befehle zur Paketerfassung können dazu führen, dass sich der Speicherplatz auf der ESA-Festplatte füllt, und können zu Leistungseinbußen führen.
    • Cisco empfiehlt, diese Befehle nur mit Unterstützung eines Cisco TAC-Technikers zu verwenden.
    • Stellen Sie sicher, dass Sie Administratorzugriff auf die CLI oder GUI der ESA haben.

    Hintergrundinformationen

    Der technische Support von Cisco kann Sie bitten, einen Einblick in die Aktivitäten der ESA im ein- und ausgehenden Netzwerk zu geben. Die Appliance bietet die Möglichkeit, TCP-, IP- und andere Pakete abzufangen und anzuzeigen, die über das Netzwerk, an das die Appliance angeschlossen ist, übertragen oder empfangen werden. Führen Sie eine Paketerfassung aus, um die Netzwerkeinrichtung zu debuggen oder den Netzwerkverkehr zu überprüfen, der die Appliance erreicht oder verlässt.

    Konfigurieren von Paketerfassungen in AsyncOS 

    In diesem Abschnitt wird der Paketerfassungsprozess beschrieben.

    Starten oder Anhalten einer Paketerfassung

    1. Um eine Paketerfassung über die GUI zu starten, navigieren Sie zum Menü Hilfe und Support oben rechts, wählen Sie Paketerfassung aus, und klicken Sie dann auf Erfassung starten.
      1. Oder klicken Sie auf Einstellungen bearbeiten, um die IP-Adresse(n) und den Port(s) anzugeben, die Sie erfassen möchten, und klicken Sie dann auf Senden.
      2. Portnummern und IP-Adressen können im CSV-Format eingegeben werden (Beispiel: 80, 443) Um EINEN Port oder eine IP zu erfassen, lassen Sie das Feld bzw. die Felder leer. 
    2. Um die Paketerfassung zu beenden, klicken Sie auf Stopp Capture (Erfassung beenden).
      1. Eine Aufzeichnung, die in der GUI beginnt, wird zwischen den Sitzungen beibehalten.
    1. Um eine Paketerfassung über die CLI zu starten, geben Sie den Befehl packetcapture > start ein.
      1. Sie können auch den Befehl setup verwenden, um die IP-Adresse(n) und den Port(s) anzugeben, die Sie erfassen möchten. 
    2. Um den Paketerfassungsprozess zu beenden, geben Sie den Befehl PacketCapture > stop ein.
      1. Die ESA stoppt die Paketerfassung, wenn die Sitzung endet.

    Verwalten von Paketerfassungen

    Um Ihre Dateien zu verwalten, navigieren Sie zu Hilfe und Support > Packet Capture in der GUI. Von dieser Seite aus können Sie:

    • Fortschritt überwachen: Zeigen Sie Echtzeit-Statistiken für aktive Aufzeichnungen an, einschließlich der aktuellen Dateigröße und verstrichenen Zeit.
    • Dateien herunterladen:Wählen Sie eine fertige Erfassung aus, und klicken Sie auf Datei herunterladen, um sie auf Ihrem lokalen Computer zu speichern.
    • Dateien löschen: Um Speicherplatz freizugeben, wählen Sie eine oder mehrere Dateien aus, und klicken Sie auf Ausgewählte Dateien löschen.

    Einschränkungen für die Paketerfassung

    • Einzelinstanz: Es kann jeweils nur eine Paketerfassung ausgeführt werden.
    • Schnittstellenunabhängigkeit: Die grafische Benutzeroberfläche (GUI) und die Kommandozeile (CLI) arbeiten unabhängig von der Paketerfassung. In der GUI werden nur die über die Webschnittstelle eingeleiteten Erfassungen angezeigt und verwaltet, während in der CLI nur der Status der über die Befehlszeile gestarteten Erfassungen angezeigt wird.

    Zusätzliche Unterstützung für Paketerfassung

    Ausführlichere Anweisungen finden Sie in der AsyncOS Online-Hilfe:

    1. Navigieren Sie zu Hilfe und Support > Online-Hilfe.
    2. Suchen Sie nachPaketerfassung.
    3. Wählen SiePaketerfassung ausführen aus.

    Benutzerdefinierte Paketerfassungsfilter verwenden

    Dieser Abschnitt enthält Informationen zu benutzerdefinierten Erfassungsfiltern und Beispiele.

    Folgende Standardfilter werden verwendet:

    • ip - Filter für den gesamten IP-Protokollverkehr
    • tcp - Filter für den gesamten TCP-Protokollverkehr
    • ip host - Filter für eine bestimmte IP-Adressquelle oder ein bestimmtes Ziel

    Hier einige Beispiele für verwendete Filter:

    • ip host 10.1.1.1 - Dieser Filter erfasst jeglichen Datenverkehr, der 10.1.1.1 als Quelle oder Ziel enthält.
    • ip host 10.1.1.1 oder ip host 10.1.1.2 - Dieser Filter erfasst Datenverkehr, der entweder 10.1.1.1 oder 10.1.1.2 als Quelle oder Ziel enthält.

    Durchführung zusätzlicher Netzwerkuntersuchungen

    Die unten beschriebenen Methoden können nur über die CLI verwendet werden.

    TCPSERVICES

    Der Befehl tcpservices zeigt TCP/IP-Informationen für die aktuellen Funktions- und Systemprozesse an.

    example.com> tcpservices

System Processes (Note: All processes can not always be present)
  ftpd.main    - The FTP daemon
  ginetd       - The INET daemon
  interface    - The interface controller for inter-process communication
  ipfw         - The IP firewall
  slapd        - The Standalone LDAP daemon
  sntpd        - The SNTP daemon
  sshd         - The SSH daemon
  syslogd      - The system logging daemon
  winbindd     - The Samba Name Service Switch daemon

Feature Processes
  euq_webui    - GUI for ISQ
  gui          - GUI process
  hermes       - MGA mail server
  postgres     - Process for storing and querying quarantine data
  splunkd      - Processes for storing and querying Email Tracking data

COMMAND      USER         TYPE NODE   NAME
postgres     pgsql        IPv4 TCP    127.0.0.1:5432
interface    root         IPv4 TCP    127.0.0.1:53
ftpd.main    root         IPv4 TCP    10.0.202.7:21
gui          root         IPv4 TCP    10.0.202.7:80
gui          root         IPv4 TCP    10.0.202.7:443
ginetd       root         IPv4 TCP    10.0.202.7:22
java         root         IPv6 TCP    [::127.0.0.1]:18081
hermes       root         IPv4 TCP    10.0.202.7:25
hermes       root         IPv4 TCP    10.0.202.7:7025
api_serve    root         IPv4 TCP    10.0.202.7:6080
api_serve    root         IPv4 TCP    127.0.0.1:60001
api_serve    root         IPv4 TCP    10.0.202.7:6443
nginx        root         IPv4 TCP    *:4431
nginx        nobody       IPv4 TCP    *:4431
nginx        nobody       IPv4 TCP    *:4431
java         root         IPv4 TCP    127.0.0.1:9999

    NETSTAT

    Dieses Dienstprogramm zeigt Netzwerkverbindungen für TCP (ein- und ausgehend), Routing-Tabellen sowie eine Reihe von Netzwerkschnittstellen- und Netzwerkprotokollstatistiken an.

    example.com> netstat

Choose the information you want to display:
1. List of active sockets.
2. State of network interfaces.
3. Contents of routing tables.
4. Size of the listen queues.
5. Packet traffic information.

Example of Option 1 (List of active sockets)

Active Internet connections (including servers)
Proto Recv-Q Send-Q Local Address          Foreign Address        (state)
tcp4       0      0 10.0.202.7.10275       10.0.201.4.6025        ESTABLISHED
tcp4       0      0 10.0.202.7.22          10.0.201.4.57759       ESTABLISHED
tcp4       0      0 10.0.202.7.10273       a96-17-177-18.deploy.static.akamaitechnologies.com.80  TIME_WAIT
tcp4       0      0 10.0.202.7.10260       10.0.201.5.443     ESTABLISHED
tcp4       0      0 10.0.202.7.10256       10.0.201.5.443     ESTABLISHED

Example of Option 2 (State of network interfaces)

Show the number of dropped packets? [N]> y

Name    Mtu Network       Address              Ipkts Ierrs Idrop     Ibytes    Opkts Oerrs     Obytes  Coll  Drop
Data 1    - 10.0.202.0    10.0.202.7        110624529     -     - 117062552515 122028093     - 30126949890     -     -

Example of Option 3 (Contents of routing tables)

Routing tables

Internet:
Destination        Gateway            Flags      Netif Expire
default            10.0.202.1         UGS         Data 1
10.0.202.0         link#2             U           Data 1
10.0.202.7         link#2             UHS         lo0
localhost.example. link#4             UH          lo0

Example of Option 4 (Size of the listen queues)

Current listen queue sizes (qlen/incqlen/maxqlen)
Proto Listen         Local Address
tcp4  0/0/50         localhost.exampl.9999
tcp4  0/0/50         10.0.202.7.7025
tcp4  0/0/50         10.0.202.7.25
tcp4  0/0/15         10.0.202.7.6443
tcp4  0/0/15         localhost.exampl.60001
tcp4  0/0/15         10.0.202.7.6080
tcp4  0/0/20         localhost.exampl.18081
tcp4  0/0/20         10.0.202.7.443
tcp4  0/0/20         10.0.202.7.80
tcp4  0/0/10         10.0.202.7.21
tcp4  0/0/10         10.0.202.7.22
tcp4  0/0/10         localhost.exampl.53
tcp4  0/0/208        localhost.exampl.5432

Example of Option 5 (Packet traffic information)

            input           nic1           output
   packets  errs idrops      bytes    packets  errs      bytes colls drops
        49     0     0       8116         55     0       7496     0     0

    NETZWERK

    Der Netzwerk-Unterbefehl unter "Diagnose" bietet Zugriff auf zusätzliche Optionen.

    Verwenden Sie diesen Befehl, um alle netzwerkbezogenen Caches zu leeren, den Inhalt des ARP-Caches anzuzeigen, den Inhalt des NDP-Caches anzuzeigen (falls zutreffend) und die SMTP-Remote-Verbindung mit SMTP-Verbindungen zu testen.

    example.com> diagnostic


Choose the operation you want to perform:
- RAID - Disk Verify Utility.
- DISK_USAGE - Check Disk Usage.
- NETWORK - Network Utilities.
- REPORTING - Reporting Utilities.
- TRACKING - Tracking Utilities.
- RELOAD - Reset configuration to the initial manufacturer values.
- SERVICES - Service Utilities.
[]> network


Choose the operation you want to perform:
- FLUSH - Flush all network related caches.
- ARPSHOW - Show system ARP cache.
- NDPSHOW - Show system NDP cache.
- SMTPPING - Test a remote SMTP server.
- TCPDUMP - Dump ethernet packets.
[]>

    ETHERCONFIG

    Mit dem Befehl etherconfig können Sie Einstellungen in Bezug auf Duplex- und MAC-Informationen für Schnittstellen, VLANs, Loopback-Schnittstellen, MTU-Größen und die Annahme oder Ablehnung von ARP-Antworten mit einer Multicast-Adresse anzeigen und konfigurieren.

    example.com> etherconfig


Choose the operation you want to perform:
- MEDIA - View and edit ethernet media settings.
- VLAN - View and configure VLANs.
- LOOPBACK - View and configure Loopback.
- MTU - View and configure MTU.
- MULTICAST - Accept or reject ARP replies with a multicast address.
[]>

    TRACEROUTE

    Dieser Befehl zeigt die Netzwerkroute zu einem Remote-Host an.

    Verwenden Sie den Befehl traceroute6, wenn auf mindestens einer Schnittstelle eine IPv6-Adresse konfiguriert ist.

    example.com> traceroute google.com

Press Ctrl-C to stop.
traceroute to google.com (216.58.194.206), 64 hops max, 40 byte packets
1 68.232.129.2 (68.232.129.2) 0.902 ms
68.232.129.3 (68.232.129.3) 0.786 ms 0.605 ms
2 139.138.24.10 (139.138.24.10) 0.888 ms 0.926 ms 1.092 ms
3 68.232.128.2 (68.232.128.2) 1.116 ms 0.780 ms 0.737 ms
4 139.138.24.42 (139.138.24.42) 0.703 ms
208.90.63.209 (208.90.63.209) 1.413 ms
139.138.24.42 (139.138.24.42) 1.219 ms
5 svl-edge-25.inet.qwest.net (63.150.59.25) 1.436 ms 1.223 ms 1.177 ms
6 snj-edge-04.inet.qwest.net (67.14.34.82) 1.838 ms 2.086 ms 1.740 ms
7 108.170.242.225 (108.170.242.225) 1.986 ms 1.992 ms
108.170.243.1 (108.170.243.1) 2.852 ms
8 108.170.242.225 (108.170.242.225) 2.097 ms
108.170.243.1 (108.170.243.1) 2.967 ms 2.812 ms
9 108.170.237.105 (108.170.237.105) 1.974 ms
sfo03s01-in-f14.1e100.net (216.58.194.206) 2.042 ms 1.882 ms

    PING

    Ping ermöglicht Ihnen, die Erreichbarkeit eines Hosts entweder mithilfe der IP-Adresse oder des Hostnamens zu testen, und liefert Statistiken über mögliche Latenz und Verwerfungen in der Kommunikation.

    example.com> ping google.com

Press Ctrl-C to stop.
PING google.com (216.58.194.206): 56 data bytes
64 bytes from 216.58.194.206: icmp_seq=0 ttl=56 time=2.095 ms
64 bytes from 216.58.194.206: icmp_seq=1 ttl=56 time=1.824 ms
64 bytes from 216.58.194.206: icmp_seq=2 ttl=56 time=2.005 ms
64 bytes from 216.58.194.206: icmp_seq=3 ttl=56 time=1.939 ms
64 bytes from 216.58.194.206: icmp_seq=4 ttl=56 time=1.868 ms
64 bytes from 216.58.194.206: icmp_seq=5 ttl=56 time=1.963 ms

--- google.com ping statistics ---
6 packets transmitted, 6 packets received, 0.0% packet loss
round-trip min/avg/max/stddev = 1.824/1.949/2.095/0.088 ms

    Revisionsverlauf

    Überarbeitung Veröffentlichungsdatum Kommentare
    2.0
    22-Feb-2026
    Prozess und Syntax werden aktualisiert.
    1.0
    11-Jun-2014
    Erstveröffentlichung
    TAC Authored

    Beiträge von Cisco Ingenieuren

    • Dennis McCabe Jr
      Cisco Technical Leader
    • Robert Sherwin
      Cisco Technical Leader
    • Vibhor Amrodia
      Cisco Technical Leader

    War dieses Dokument hilfreich?

    FeedbackFeedback

    Cisco kontaktieren

    Dieses Dokument gilt für folgende Produkte.