はじめに
このドキュメントでは、Cisco Secure Web Appliance(SWA)、Eメールセキュリティアプライアンス(ESA)、およびセキュリティ管理アプライアンス(SMA)でのパケットキャプチャについて説明します。
前提条件
要件
次の項目に関する知識があることが推奨されます。
- Ciscoコンテンツセキュリティアプライアンスの管理
Cisco では次の前提を満たす推奨しています。
- インストールされている物理または仮想SWA/ESA/SMA。
- SWA/ESA/SMAグラフィカルユーザインターフェイス(GUI)への管理アクセス。
- SWA/ESA/SMAコマンドラインインターフェイス(CLI)への管理アクセス
使用するコンポーネント
このドキュメントの内容は、特定のソフトウェアやハードウェアのバージョンに限定されるものではありません。
このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。本稼働中のネットワークでは、各コマンドによって起こる可能性がある影響を十分確認してください。
GUIからのパケットキャプチャの実行
GUIからパケットキャプチャを実行するには、次の手順を使用します。
ステップ 1:GUI にログインします。
ステップ 2:ページの右上でSupport and Helpの順に選択します。
ステップ 3:Packet Captureを選択します。
イメージ – パケットキャプチャ
ステップ4:(オプション)現在のフィルタを編集するには、Edit Settingsを選択します。(フィルタの詳細については、このドキュメントの「フィルタ」セクションを参照してください)
ステップ 5:キャプチャの開始.
イメージ:パケットキャプチャのステータスとフィルタ
注:パケットキャプチャファイルのサイズ制限は200 MBです。ファイルサイズが200 MBに達すると、パケットキャプチャが停止します。
「現在のパケットキャプチャ」セクションには、ファイルサイズや適用されているフィルタなど、パケットキャプチャのステータスが表示されます。
イメージ:パケットキャプチャステータス
手順 6:実行中のパケットキャプチャを停止するには、Stop Captureをクリックします。
手順 7:パケットキャプチャファイルをダウンロードするには、Manage Packet Capture Filesリストからファイルを選択し、Download Fileをクリックします。
イメージ:パケットキャプチャのダウンロード
ヒント:最新のファイルはリストの一番上にあります。
ステップ8:(オプション)パケットキャプチャファイルを削除するには、Manage Packet Capture Filesリストからファイルを選択し、Delete Selected Filesをクリックします。
CLIからのパケットキャプチャの実行
CLIからパケットキャプチャを開始する場合も、次の手順を使用できます。
ステップ 1:CLIにログインします。
ステップ 2:packetcapture と入力してEnterキーを押します。
ステップ3:(オプション)現在のフィルタタイプSETUPを編集するには、次のコマンドを使用します(フィルタの詳細については、このドキュメントの「フィルタ」の項を参照してください)。
ステップ 4: STARTを選択して、キャプチャを開始します。
SWA_CLI> packetcapture
Status: No capture running
Current Settings:
Max file size: 200 MB
Capture Limit: None (Run Indefinitely)
Capture Interfaces: Management
Capture Filter: (tcp port 80 or tcp port 3128)
Choose the operation you want to perform:
- START - Start packet capture.
- SETUP - Change packet capture settings.
ステップ5.(オプション)パケットキャプチャのステータスを表示するには、STATUSを選択します。
Choose the operation you want to perform:
- STOP - Stop packet capture.
- STATUS - Display current capture status.
- SETUP - Change packet capture settings.
[]> STATUS
Status: Capture in progress
File Name: S100V-420DFA7B8265ED011535-71BAE3E9E084-20241006-130426.cap
File Size: 0K
Duration: 45s
Current Settings:
Max file size: 200 MB
Capture Limit: None (Run Indefinitely)
Capture Interfaces: Management
Capture Filter: (tcp port 80 or tcp port 3128)
手順 6:パケットキャプチャを停止するには、STOPと入力してEnterキーを押します。
注:CLIから収集したパケットキャプチャファイルをダウンロードするには、GUIからファイルをダウンロードするか、File Transfer Protocol(FTP)経由でアプライアンスに接続してCapturesフォルダからダウンロードします。
フィルタ
ここでは、コンテンツセキュリティアプライアンスで使用できるフィルタに関するガイドを示します。
ホストIPアドレスによるフィルタ
GUIでのホストIPによるフィルタリング
ホストIPアドレスでフィルタリングするには、GUIから次の2つのオプションがあります。
GUIから定義済みフィルタを使用するには、次の手順を実行します。
ステップ 1:Packet Captureページで、Edit Settingsを選択します。
ステップ 2:Packet Capture Filtersから、Predefined Filtersを選択します。
ステップ 3:IPアドレスは、クライアントIPまたはサーバIPセクションで入力できます。
注:クライアントIPまたはサーバIPの選択は、送信元アドレスまたは宛先アドレスに限定されません。このフィルタは、送信元または宛先として定義されたIPアドレスを持つすべてのパケットをキャプチャします。
イメージ – GUIの事前定義済みフィルタからのホストIPによるフィルタ
ステップ 4:変更を送信します。
ステップ 5:キャプチャの開始.
ヒント:現在のキャプチャに適用されている新しく追加されたフィルタである変更をコミットする必要はありません。変更を確定すると、フィルタを保存して後で使用できるようにします。
GUIからカスタムフィルタと定義済みフィルタを使用するには、次の手順を実行します。
ステップ 1:Packet Captureページで、Edit Settingsを選択します。
ステップ 2:Packet Capture Filtersから、Custom Filterを選択します。
ステップ 3:host構文の後にIPアドレスを続けて使用します。
次に、送信元または宛先IPアドレスが10.20.3.15のトラフィックをすべてフィルタリングする例を示します
host 10.20.3.15
ヒント:複数のIPアドレスでフィルタリングするには、or(小文字のみ)やand(小文字のみ)などの論理オペランドを使用できます。
イメージ – 2つのIPアドレスに対するカスタムフィルタ
ステップ 4:変更を送信します。
ステップ 5:キャプチャの開始
CLIでのホストIPによるフィルタリング
CLIからホストIPアドレスでフィルタリングするには、次のコマンドを実行します。
ステップ 1:CLIにログインします。
ステップ 2:packetcapture と入力してEnterキーを押します。
ステップ 3: 現在のフィルタを編集するには、SETUPと入力します。
ステップ 4:Enter the filter to use the captureに達するまで質問に回答します。
ステップ 5: GUIのカスタムフィルタと同じフィルタ文字列を使用できます。
次の例では、送信元または宛先IPアドレスが10.20.3.15または10.0.0.60であるすべてのトラフィックをフィルタリングしています
SWA_CLI> packetcapture
Status: No capture running (Capture stopped by user)
File Name: S100V-420DFA7B8265ED011535-71BAE3E9E084-20241006-130426.cap
File Size: 4K
Duration: 2m 2s
Current Settings:
Max file size: 200 MB
Capture Limit: None (Run Indefinitely)
Capture Interfaces: Management
Capture Filter: (tcp port 80 or tcp port 3128)
Choose the operation you want to perform:
- START - Start packet capture.
- SETUP - Change packet capture settings.
[]> SETUP
Enter maximum allowable size for the capture file (in MB)
[200]>
Do you want to stop the capture when the file size is reached? (If not, a new file will be started and the older capture data will be discarded.)
[N]> y
The following interfaces are configured:
1. Management
Enter the name or number of one or more interfaces to capture packets from, separated by commas:
[1]>
Enter the filter to be used for the capture.
Enter the word "CLEAR" to clear the filter and capture all packets on the selected interfaces.
[(tcp port 80 or tcp port 3128)]> host 10.20.3.15 or host 10.0.0.60
ポート番号によるフィルタ
GUIでのポート番号によるフィルタリング
ポート番号でフィルタリングするには、GUIから次の2つのオプションがあります。
GUIから定義済みフィルタを使用するには、次の手順を実行します。
ステップ 1:Packet Captureページで、Edit Settingsを選択します。
ステップ 2:Packet Capture Filtersから、Predefined Filtersを選択します。
ステップ 3: Portsセクションで、フィルタリングするポート番号を入力します。
ヒント:複数のポート番号をカンマ「 , 」で区切って追加できます。
イメージ – ポート番号によるフィルタ
ステップ 4:変更を送信します。
ステップ 5:キャプチャの開始.
注意:このアプローチでは、定義されたポート番号を持つTCPトラフィックだけがキャプチャされます。UDPトラフィックをキャプチャするには、カスタムフィルタを使用します。
GUIからカスタムフィルタを使用するには:
ステップ 1:Packet Captureページで、Edit Settingsを選択します。
ステップ 2:Packet Capture Filtersから、Custom Filterを選択します。
ステップ 3:port 構文の後にポート番号を続けて使用します。
イメージ – ポート番号によるカスタムフィルタ
注:portだけを使用する場合、このフィルタはTCPポートとUDPポートの両方を対象とします。
ステップ 4:変更を送信します。
ステップ 5:キャプチャの開始.
CLIでのポート番号によるフィルタリング
CLIからポート番号でフィルタリングするには、次の手順を実行します。
ステップ 1:CLIにログインします。
ステップ 2:packetcapture と入力してEnterキーを押します。
ステップ 3: 現在のフィルタを編集するには、SETUPと入力します。
ステップ 4:Enter the filter to use the captureに達するまで質問に回答します。
ステップ 5: GUIのカスタムフィルタと同じフィルタ文字列を使用できます。
次に、TCPポートとUDPポートの両方について、送信元または宛先ポート番号が53のすべてのトラフィックをフィルタリングする例を示します。
SWA_CLI> packetcapture
Status: No capture running
Current Settings:
Max file size: 200 MB
Capture Limit: None (Run Indefinitely)
Capture Interfaces: Management
Capture Filter: (tcp port 80 or tcp port 3128)
Choose the operation you want to perform:
- START - Start packet capture.
- SETUP - Change packet capture settings.
[]> SETUP
Enter maximum allowable size for the capture file (in MB)
[200]>
Do you want to stop the capture when the file size is reached? (If not, a new file will be started and the older capture data will be discarded.)
[N]>
The following interfaces are configured:
1. Management
Enter the name or number of one or more interfaces to capture packets from, separated by commas:
[1]>
Enter the filter to be used for the capture.
Enter the word "CLEAR" to clear the filter and capture all packets on the selected interfaces.
[(tcp port 80 or tcp port 3128)]> port 53
透過的な導入によるSWAでのフィルタリング
透過型導入を使用したSWAでは、Web Cache Communication Protocol(WCCP)接続がGeneric Routing Encapsulation(GRE)トンネルを介して行われるのに対し、SWAで発着信するパケットの送信元IPアドレスと宛先IPアドレスは、ルータのIPアドレスとSWAのIPアドレスになります。
GUIからIPアドレスまたはポート番号を使用してパケットキャプチャを収集できるようにするには、次の2つのオプションがあります。
GUIでの透過的な導入によるSWAでのフィルタ処理
ステップ 1:Packet Captureページで、Edit Settingsを選択します。
ステップ 2:Packet Capture Filtersから、Predefined Filtersを選択します。
ステップ 3:IPアドレスは、クライアントIPまたはサーバIPセクションで入力できます。
イメージ:事前定義フィルタでのIPアドレスの設定
ステップ 4:変更を送信します。
ステップ 5:キャプチャの開始.
注:フィルタを送信した後、SWAによって追加の条件が「Filter Selected」セクションに追加されたことが分かります。
図 – GREトンネル内でパケットを収集するためにSWAによって追加された追加フィルタ
GUIからカスタムフィルタを使用するには:
ステップ 1:Packet Captureページで、Edit Settingsを選択します。
ステップ 2:Packet Capture Filtersから、Custom Filterを選択します。
ステップ 3:最初にこの文字列を追加し、次に、この文字列の後にorを追加して、実装する予定のフィルタを追加します。
(proto gre && ip[40:4] = 0x0a14030f) or (proto gre && ip[44:4] = 0x0a14030f) or (proto gre && ip[40:4] = 0x0a00003c) or (proto gre && ip[44:4] = 0x0a00003c)
たとえば、10.20.3.15に等しいホストIPまたは8080に等しいポート番号でフィルタリングする場合は、次の文字列を使用できます。
(proto gre && ip[40:4] = 0x0a14030f) or (proto gre && ip[44:4] = 0x0a14030f) or (proto gre && ip[40:4] = 0x0a00003c) or (proto gre && ip[44:4] = 0x0a00003c) or host 10.20.3.15 or port 8080
ステップ 4:変更を送信します。
ステップ 5:キャプチャの開始.
CLIの透過型導入を使用したSWAでのフィルタ
CLIからトランスペアレントプロキシ導入でフィルタリングするには、次の手順を実行します。
ステップ 1:CLIにログインします。
ステップ 2:packetcapture と入力してEnterキーを押します。
ステップ 3: 現在のフィルタを編集するには、SETUPと入力します。
ステップ 4:Enter the filter to use the captureに達するまで質問に回答します。
ステップ 5: GUIのカスタムフィルタと同じフィルタ文字列を使用できます。
ホストIPが10.20.3.15、またはポート番号が8080の場合のフィルタリング例を次に示します。
SWA_CLI> packetcapture
Status: No capture running
Current Settings:
Max file size: 200 MB
Capture Limit: None (Run Indefinitely)
Capture Interfaces: Management
Capture Filter: (tcp port 80 or tcp port 3128)
Choose the operation you want to perform:
- START - Start packet capture.
- SETUP - Change packet capture settings.
[]> SETUP
Enter maximum allowable size for the capture file (in MB)
[200]>
Do you want to stop the capture when the file size is reached? (If not, a new file will be started and the older capture data will be discarded.)
[N]>
The following interfaces are configured:
1. Management
Enter the name or number of one or more interfaces to capture packets from, separated by commas:
[1]>
Enter the filter to be used for the capture.
Enter the word "CLEAR" to clear the filter and capture all packets on the selected interfaces.
[(tcp port 80 or tcp port 3128)]> (proto gre && ip[40:4] = 0x0a14030f) or (proto gre && ip[44:4] = 0x0a14030f) or (proto gre && ip[40:4] = 0x0a00003c) or (proto gre && ip[44:4] = 0x0a00003c) or host 10.20.3.15 or port 8080
最も一般的なフィルタ
次の表に、一般的なフィルタの一覧を示します。
説明
|
フィルタ
|
10.20.3.15と等しい送信元IPアドレスでフィルタリング
|
送信元ホスト10.20.3.15
|
10.20.3.15と等しい宛先IPアドレスでフィルタリング
|
宛先ホスト10.20.3.15
|
送信元IPアドレスが10.20.3.15、宛先IPアドレスが10.0.0.60のフィルタ
|
(src host 10.20.3.15)および(dst host 10.0.0.60)
|
10.20.3.15と等しい送信元または宛先IPアドレスでフィルタリング
|
ホスト10.20.3.15
|
10.20.3.15または10.0.0.60と等しい送信元または宛先IPアドレスでフィルタリング
|
host 10.20.3.15またはhost 10.0.0.60
|
TCPポート番号8080でフィルタリング
|
TCP ポート 8080
|
UDPポート番号53でフィルタリング
|
UDP ポート 53
|
514と等しいポート番号(TCPまたはUDP)でフィルタリング
|
port 514
|
UDPパケットのみのフィルタリング
|
udp
|
ICMPパケットのみをフィルタ
|
icmp
|
透過型展開のすべてのキャプチャに使用するメインフィルター
|
(proto gre && ip[40:4] = 0x0a14030f)または(proto gre && ip[44:4] = 0x0a14030f)または(proto gre && ip[40:4] = 0x0a00003c)または(proto gre && ip[44:4] = 0x0a00003c)
|
注意:すべてのフィルタで大文字と小文字が区別されます。
トラブルシュート
「フィルタエラー」は、パケットキャプチャの実行中に最もよく発生するエラーの1つです。
イメージ – フィルタエラー
このエラーは通常、誤ったフィルタの実装に関連しています。前記の例では、ICMPフィルタが大文字で設定されています。これが、フィルタエラーが表示される理由です。この問題を解決するには、フィルタを編集して、ICMPをicmpに置き換える必要があります。
関連情報