コンテンツセキュリティアプライアンスでのパケットキャプチャの設定

はじめに

このドキュメントでは、Cisco Secure Web Appliance(SWA)、Eメールセキュリティアプライアンス(ESA)、およびセキュリティ管理アプライアンス(SMA)でのパケットキャプチャについて説明します。  

前提条件

要件

次の項目に関する知識があることが推奨されます。

• Ciscoコンテンツセキュリティアプライアンスの管理

Cisco では次の前提を満たす推奨しています。

• インストールされている物理または仮想SWA/ESA/SMA。

• SWA/ESA/SMAグラフィカルユーザインターフェイス(GUI)への管理アクセス。
• SWA/ESA/SMAコマンドラインインターフェイス(CLI)への管理アクセス

使用するコンポーネント

このドキュメントの内容は、特定のソフトウェアやハードウェアのバージョンに限定されるものではありません。

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、クリアな（デフォルト）設定で作業を開始しています。本稼働中のネットワークでは、各コマンドによって起こる可能性がある影響を十分確認してください。

GUIからのパケットキャプチャの実行

GUIからパケットキャプチャを実行するには、次の手順を使用します。

ステップ 1：GUI にログインします。

ステップ 2：ページの右上でSupport and Helpの順に選択します。 

ステップ 3：Packet Captureを選択します。

イメージ – パケットキャプチャ

ステップ4:（オプション）現在のフィルタを編集するには、Edit Settingsを選択します。（フィルタの詳細については、このドキュメントの「フィルタ」セクションを参照してください）

ステップ 5：キャプチャの開始.

イメージ：パケットキャプチャのステータスとフィルタ

注：パケットキャプチャファイルのサイズ制限は200 MBです。ファイルサイズが200 MBに達すると、パケットキャプチャが停止します。

「現在のパケットキャプチャ」セクションには、ファイルサイズや適用されているフィルタなど、パケットキャプチャのステータスが表示されます。 

イメージ：パケットキャプチャステータス

手順 6：実行中のパケットキャプチャを停止するには、Stop Captureをクリックします。 

手順 7：パケットキャプチャファイルをダウンロードするには、Manage Packet Capture Filesリストからファイルを選択し、Download Fileをクリックします。

イメージ：パケットキャプチャのダウンロード

ヒント：最新のファイルはリストの一番上にあります。

ステップ8:（オプション）パケットキャプチャファイルを削除するには、Manage Packet Capture Filesリストからファイルを選択し、Delete Selected Filesをクリックします。

CLIからのパケットキャプチャの実行

CLIからパケットキャプチャを開始する場合も、次の手順を使用できます。

ステップ 1：CLIにログインします。

ステップ 2：packetcapture と入力してEnterキーを押します。

ステップ3:（オプション）現在のフィルタタイプSETUPを編集するには、次のコマンドを使用します（フィルタの詳細については、このドキュメントの「フィルタ」の項を参照してください）。

ステップ 4： STARTを選択して、キャプチャを開始します。

SWA_CLI> packetcapture
Status: No capture running

Current Settings:
 Max file size:      200 MB
 Capture Limit:      None (Run Indefinitely)
 Capture Interfaces: Management
 Capture Filter:     (tcp port 80 or tcp port 3128)

Choose the operation you want to perform:
- START - Start packet capture.
- SETUP - Change packet capture settings.

ステップ5.（オプション）パケットキャプチャのステータスを表示するには、STATUSを選択します。

Choose the operation you want to perform:
- STOP - Stop packet capture.
- STATUS - Display current capture status.
- SETUP - Change packet capture settings.
[]> STATUS

Status: Capture in progress
File Name: S100V-420DFA7B8265ED011535-71BAE3E9E084-20241006-130426.cap
File Size: 0K
Duration:  45s

Current Settings:
 Max file size:      200 MB
 Capture Limit:      None (Run Indefinitely)
 Capture Interfaces: Management
 Capture Filter:     (tcp port 80 or tcp port 3128)

手順 6：パケットキャプチャを停止するには、STOPと入力してEnterキーを押します。

注:CLIから収集したパケットキャプチャファイルをダウンロードするには、GUIからファイルをダウンロードするか、File Transfer Protocol(FTP)経由でアプライアンスに接続してCapturesフォルダからダウンロードします。

フィルタ

ここでは、コンテンツセキュリティアプライアンスで使用できるフィルタに関するガイドを示します。

ホストIPアドレスによるフィルタ

GUIでのホストIPによるフィルタリング

ホストIPアドレスでフィルタリングするには、GUIから次の2つのオプションがあります。

• 定義済みフィルタ
• カスタムフィルタ 

GUIから定義済みフィルタを使用するには、次の手順を実行します。

ステップ 1：Packet Captureページで、Edit Settingsを選択します。

ステップ 2：Packet Capture Filtersから、Predefined Filtersを選択します。

ステップ 3：IPアドレスは、クライアントIPまたはサーバIPセクションで入力できます。

注：クライアントIPまたはサーバIPの選択は、送信元アドレスまたは宛先アドレスに限定されません。このフィルタは、送信元または宛先として定義されたIPアドレスを持つすべてのパケットをキャプチャします。

イメージ – GUIの事前定義済みフィルタからのホストIPによるフィルタ

ステップ 4：変更を送信します。 

ステップ 5：キャプチャの開始.

ヒント：現在のキャプチャに適用されている新しく追加されたフィルタである変更をコミットする必要はありません。変更を確定すると、フィルタを保存して後で使用できるようにします。

GUIからカスタムフィルタと定義済みフィルタを使用するには、次の手順を実行します。

ステップ 1：Packet Captureページで、Edit Settingsを選択します。

ステップ 2：Packet Capture Filtersから、Custom Filterを選択します。

ステップ 3：host構文の後にIPアドレスを続けて使用します。 

次に、送信元または宛先IPアドレスが10.20.3.15のトラフィックをすべてフィルタリングする例を示します

host 10.20.3.15

ヒント：複数のIPアドレスでフィルタリングするには、or（小文字のみ）やand（小文字のみ）などの論理オペランドを使用できます。

イメージ – 2つのIPアドレスに対するカスタムフィルタ

ステップ 4：変更を送信します。 

ステップ 5：キャプチャの開始

CLIでのホストIPによるフィルタリング

CLIからホストIPアドレスでフィルタリングするには、次のコマンドを実行します。

ステップ 1：CLIにログインします。

ステップ 2：packetcapture と入力してEnterキーを押します。

ステップ 3： 現在のフィルタを編集するには、SETUPと入力します。

ステップ 4：Enter the filter to use the captureに達するまで質問に回答します。

ステップ 5： GUIのカスタムフィルタと同じフィルタ文字列を使用できます。

次の例では、送信元または宛先IPアドレスが10.20.3.15または10.0.0.60であるすべてのトラフィックをフィルタリングしています

SWA_CLI> packetcapture

Status: No capture running (Capture stopped by user)
File Name: S100V-420DFA7B8265ED011535-71BAE3E9E084-20241006-130426.cap
File Size: 4K
Duration:  2m 2s

Current Settings:
 Max file size:      200 MB
 Capture Limit:      None (Run Indefinitely)
 Capture Interfaces: Management
 Capture Filter:     (tcp port 80 or tcp port 3128)

Choose the operation you want to perform:
- START - Start packet capture.
- SETUP - Change packet capture settings.
[]> SETUP

Enter maximum allowable size for the capture file (in MB)
[200]>

Do you want to stop the capture when the file size is reached? (If not, a new file will be started and the older capture data will be discarded.)
[N]> y

The following interfaces are configured:
1. Management
Enter the name or number of one or more interfaces to capture packets from, separated by commas:
[1]>

Enter the filter to be used for the capture.
Enter the word "CLEAR" to clear the filter and capture all packets on the selected interfaces.
[(tcp port 80 or tcp port 3128)]> host 10.20.3.15 or host 10.0.0.60

ポート番号によるフィルタ

GUIでのポート番号によるフィルタリング

ポート番号でフィルタリングするには、GUIから次の2つのオプションがあります。

• 定義済みフィルタ
• カスタムフィルタ 

GUIから定義済みフィルタを使用するには、次の手順を実行します。

ステップ 1：Packet Captureページで、Edit Settingsを選択します。

ステップ 2：Packet Capture Filtersから、Predefined Filtersを選択します。

ステップ 3： Portsセクションで、フィルタリングするポート番号を入力します。

ヒント：複数のポート番号をカンマ「 , 」で区切って追加できます。

イメージ – ポート番号によるフィルタ

ステップ 4：変更を送信します。 

ステップ 5：キャプチャの開始.

注意：このアプローチでは、定義されたポート番号を持つTCPトラフィックだけがキャプチャされます。UDPトラフィックをキャプチャするには、カスタムフィルタを使用します。

GUIからカスタムフィルタを使用するには：

ステップ 1：Packet Captureページで、Edit Settingsを選択します。

ステップ 2：Packet Capture Filtersから、Custom Filterを選択します。

ステップ 3：port 構文の後にポート番号を続けて使用します。 

イメージ – ポート番号によるカスタムフィルタ

注：portだけを使用する場合、このフィルタはTCPポートとUDPポートの両方を対象とします。

ステップ 4：変更を送信します。 

ステップ 5：キャプチャの開始.

CLIでのポート番号によるフィルタリング

CLIからポート番号でフィルタリングするには、次の手順を実行します。

ステップ 1：CLIにログインします。

ステップ 2：packetcapture と入力してEnterキーを押します。

ステップ 3： 現在のフィルタを編集するには、SETUPと入力します。

ステップ 4：Enter the filter to use the captureに達するまで質問に回答します。

ステップ 5： GUIのカスタムフィルタと同じフィルタ文字列を使用できます。

次に、TCPポートとUDPポートの両方について、送信元または宛先ポート番号が53のすべてのトラフィックをフィルタリングする例を示します。

SWA_CLI> packetcapture
Status: No capture running

Current Settings:
 Max file size:      200 MB
 Capture Limit:      None (Run Indefinitely)
 Capture Interfaces: Management
 Capture Filter:     (tcp port 80 or tcp port 3128)

Choose the operation you want to perform:
- START - Start packet capture.
- SETUP - Change packet capture settings.
[]> SETUP

Enter maximum allowable size for the capture file (in MB)
[200]>

Do you want to stop the capture when the file size is reached? (If not, a new file will be started and the older capture data will be discarded.)
[N]>

The following interfaces are configured:
1. Management
Enter the name or number of one or more interfaces to capture packets from, separated by commas:
[1]>

Enter the filter to be used for the capture.
Enter the word "CLEAR" to clear the filter and capture all packets on the selected interfaces.
[(tcp port 80 or tcp port 3128)]> port 53

透過的な導入によるSWAでのフィルタリング 

透過型導入を使用したSWAでは、Web Cache Communication Protocol(WCCP)接続がGeneric Routing Encapsulation(GRE)トンネルを介して行われるのに対し、SWAで発着信するパケットの送信元IPアドレスと宛先IPアドレスは、ルータのIPアドレスとSWAのIPアドレスになります。 

GUIからIPアドレスまたはポート番号を使用してパケットキャプチャを収集できるようにするには、次の2つのオプションがあります。

• 定義済みフィルタ
• カスタムフィルタ 

GUIでの透過的な導入によるSWAでのフィルタ処理

ステップ 1：Packet Captureページで、Edit Settingsを選択します。

ステップ 2：Packet Capture Filtersから、Predefined Filtersを選択します。

ステップ 3：IPアドレスは、クライアントIPまたはサーバIPセクションで入力できます。

イメージ：事前定義フィルタでのIPアドレスの設定

ステップ 4：変更を送信します。 

ステップ 5：キャプチャの開始.

注：フィルタを送信した後、SWAによって追加の条件が「Filter Selected」セクションに追加されたことが分かります。

図 – GREトンネル内でパケットを収集するためにSWAによって追加された追加フィルタ

GUIからカスタムフィルタを使用するには：

ステップ 1：Packet Captureページで、Edit Settingsを選択します。

ステップ 2：Packet Capture Filtersから、Custom Filterを選択します。

ステップ 3：最初にこの文字列を追加し、次に、この文字列の後にorを追加して、実装する予定のフィルタを追加します。

(proto gre && ip[40:4] = 0x0a14030f) or (proto gre && ip[44:4] = 0x0a14030f) or (proto gre && ip[40:4] = 0x0a00003c) or (proto gre && ip[44:4] = 0x0a00003c) 

たとえば、10.20.3.15に等しいホストIPまたは8080に等しいポート番号でフィルタリングする場合は、次の文字列を使用できます。

(proto gre && ip[40:4] = 0x0a14030f) or (proto gre && ip[44:4] = 0x0a14030f) or (proto gre && ip[40:4] = 0x0a00003c) or (proto gre && ip[44:4] = 0x0a00003c) or host 10.20.3.15 or port 8080

ステップ 4：変更を送信します。 

ステップ 5：キャプチャの開始.

CLIの透過型導入を使用したSWAでのフィルタ

CLIからトランスペアレントプロキシ導入でフィルタリングするには、次の手順を実行します。

ステップ 1：CLIにログインします。

ステップ 2：packetcapture と入力してEnterキーを押します。

ステップ 3： 現在のフィルタを編集するには、SETUPと入力します。

ステップ 4：Enter the filter to use the captureに達するまで質問に回答します。

ステップ 5： GUIのカスタムフィルタと同じフィルタ文字列を使用できます。

ホストIPが10.20.3.15、またはポート番号が8080の場合のフィルタリング例を次に示します。

SWA_CLI> packetcapture
Status: No capture running

Current Settings:
 Max file size:      200 MB
 Capture Limit:      None (Run Indefinitely)
 Capture Interfaces: Management
 Capture Filter:     (tcp port 80 or tcp port 3128)

Choose the operation you want to perform:
- START - Start packet capture.
- SETUP - Change packet capture settings.
[]> SETUP

Enter maximum allowable size for the capture file (in MB)
[200]>

Do you want to stop the capture when the file size is reached? (If not, a new file will be started and the older capture data will be discarded.)
[N]>

The following interfaces are configured:
1. Management
Enter the name or number of one or more interfaces to capture packets from, separated by commas:
[1]>

Enter the filter to be used for the capture.
Enter the word "CLEAR" to clear the filter and capture all packets on the selected interfaces.
[(tcp port 80 or tcp port 3128)]> (proto gre && ip[40:4] = 0x0a14030f) or (proto gre && ip[44:4] = 0x0a14030f) or (proto gre && ip[40:4] = 0x0a00003c) or (proto gre && ip[44:4] = 0x0a00003c) or host 10.20.3.15 or port 8080

最も一般的なフィルタ 

次の表に、一般的なフィルタの一覧を示します。

注意：すべてのフィルタで大文字と小文字が区別されます。

トラブルシュート

「フィルタエラー」は、パケットキャプチャの実行中に最もよく発生するエラーの1つです。

イメージ – フィルタエラー

このエラーは通常、誤ったフィルタの実装に関連しています。前記の例では、ICMPフィルタが大文字で設定されています。これが、フィルタエラーが表示される理由です。この問題を解決するには、フィルタを編集して、ICMPをicmpに置き換える必要があります。 

関連情報

• AsyncOS 15.0 for Cisco Secure Web Applianceユーザガイド – GD（一般導入） – エンドユーザライセンスの分類