この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
Cisco Prime Network Analysis Module(NAM) のキャプチャ機能を使用すると、パケット データのキャプチャ、フィルタリング、およびデコード用の複数のバッファの設定、ファイル制御システム内のデータ管理、およびパケットの内容表示を行うことができます。
(注) キャプチャは、NAM 仮想サービス ブレードには適用されません。
• 「ファイル」
アプリケーション、ホスト、または VLAN を示すさまざまなダッシュボード バー チャートの [Context] メニューから、キャプチャを開始できます。たとえば、バー チャートのアプリケーションをクリックし(図 4-1 を参照)、[Capture] を選択すると、次の操作が自動的に行われます。
• そのアプリケーションを使用してソフトウェア フィルタが作成される
• 復号化ウィンドウが開き、キャプチャされているパケットをすぐに表示する
キャプチャ セッションの目的とは、フィルタのキャプチャ、パケット データの復号化、ファイル制御システムでのデータの管理を行い、パケットのコンテンツを表示することです。キャプチャされたパケットを復号化し、NAM で分析すると、問題をより効率的に切り分けることができます。
• 「Cisco 2200 シリーズ アプライアンスのキャプチャ セッション」
図 4-2 に示すように、NAM で受信したパケットが、設定されたハードウェア フィルタを通過すると、パケットは次のステップに進みます。ハードウェア フィルタが設定されていなければ、すべてのパケットが通過します。ハードウェア フィルタの詳細については、「ハードウェア フィルタ」を参照してください。
(注) ハードウェア フィルタは、Cisco 2200 シリーズ アプライアンスおよび NAM-3 にのみ適用されます。
そのため、パケットをそのセッションで保存するには、そのセッションの中で少なくとも 1 つのソフトウェア フィルタを通過する必要があります。セッションに対してソフトウェア フィルタが設定されていない場合は、すべてのパケットがキャプチャされます。ソフトウェア フィルタの詳細については、「ソフトウェア フィルタ」を参照してください。
NAM-3 のパフォーマンスを向上するには、ソフトウェア フィルタよりもハードウェア フィルタを使用し、セッションの数を減らすことを推奨します。
図 4-2 のアイテムを設定する順序は、特に決められていません。たとえば、[Global Capture Settings] を最初に設定してからキャプチャ セッションを設定し、その後にフィルタを作成することも、ハードウェア フィルタとソフトウェア フィルタを先に作成してからキャプチャ セッションを作成し、最後に [Global Capture Settings] を適用することもできます。ただし、セッションは最後に「スタート」することを推奨します。それ以外の場合は、フィルタが設定され、パケット スライスが実行される前にキャプチャを開始します。
[Global Capture Settings] およびハードウェア フィルタは、セッションが実行中でも随時変更できます。変更点は、実行中のキャプチャ セッションに即座に反映されます。
図 4-2 に示すように、NAM で受信されたネットワーク パケットは、少なくとも 1 つのハードウェア フィルタを通過してから次のステップに進みます。ハードウェア フィルタが設定されていなければ、すべてのパケットが通過します。ハードウェア フィルタの詳細については、「ハードウェア フィルタ」を参照してください。
(注) ハードウェア フィルタは、Cisco 2200 シリーズ アプライアンスおよび NAM-3 にのみ適用されます。
そのため、パケットをそのセッションで保存するには、そのセッションの中で少なくとも 1 つのソフトウェア フィルタを通過する必要があります。セッションに対してソフトウェア フィルタが設定されていない場合は、すべてのパケットがキャプチャされます。ソフトウェア フィルタの詳細については、「ソフトウェア フィルタ」を参照してください。
パケットがハードウェアおよびソフトウェア フィルタを通過するには、それぞれのフィルタに対し、設定されたすべてのフィールドが一致する必要があります。フィルタ内に設定したフィールドが多ければ多いほど、フィルタがより詳細になり、通過するパケット数も少なくなります。
NAM でパケット データをキャプチャ、表示、およびデコードするための基本的な操作を行うには、[Capture] > [Packet Capture/Decode] > [Sessions] の順に選択します。
[Capture Sessions] ウィンドウに、キャプチャ セッションのリストが表示されます。設定されていない場合は、リストには何も表示されません。キャプチャ セッションのフィールドの説明については、 「[Capture Session] のフィールド」 の 表 4-1 を参照してください。
「[Capture Session Operations] ウィンドウのボタン」 ( 表 4-2 )で、[Capture Sessions] ウィンドウで行える操作について説明します。
|
|
---|---|
|
新規のキャプチャ セッションを作成します。「キャプチャ セッションの設定」を参照してください。 |
|
|
|
|
|
|
|
選択されたセッションのキャプチャを停止します(パケットは通過しません)。キャプチャ データはキャプチャ メモリ バッファに残されますが、新しいデータは保存されません。キャプチャを再開するには、[Start] をクリックします。 |
|
|
|
|
|
NAM ハード ディスクのファイルにセッションを保存します。「ファイル」を参照してください。 |
ファイルの場所ごとに開くことができるキャプチャ セッションは 1 つだけです。最大 10 個のキャプチャ セッションがサポートされます。
キャプチャ セッションの設定の一部として、必要に応じてソフトウェア フィルタも作成できます(「ソフトウェア フィルタの作成」を参照)。
新しいキャプチャ セッションを設定するには、次の操作を行います。
ステップ 1 [Capture] > [Packet/Capture Decode] > [Sessions] の順に選択します。
ステップ 2 新しいキャプチャをセットアップするには、[Create] ボタンをクリックします。NAM は [Configure Capture Session] ウィンドウ(図 4-3)を表示します。[Capture Settings] ウィンドウには、キャプチャの名前を入力するためのフィールド、および 表 4-3 で説明している 4 つのステータス インジケータがあります。
図 4-3 [Configure Capture Session] ウィンドウ
ステップ 3 適宜、キャプチャ設定フィールド( 表 4-3 )に情報を入力します。
|
|
|
---|---|---|
|
||
|
64 ~ 9000 の範囲で値を入力します。スライスを実行しない場合は、ゼロ(0)を入力します。 セッションが小さい場合、できるだけ多くのパケットをキャプチャするには、小さなスライス サイズを使用します。 指定したスライス サイズよりもパケット サイズが大きい場合、パケットはキャプチャ セッションに保存される前にスライスされます。たとえば、パケットが 1000 バイトでスライス サイズが 200 バイトの場合、パケットの最初の 200 バイトだけがキャプチャ セッションに保存されます。 |
|
|
キャプチャ ソースを選択します(1 つ以上のチェックボックスを選択): • |
|
|
このキャプチャの場合は、[Memory Size] に値を入力してください。1 からプラットフォームの最大値までの数値を入力します。システム メモリが少ない場合は、割り当てられる実際のセッション サイズが、ここで指定された数値よりも小さくなることがあります。各 NAM プラットフォームの最大セッション サイズについては、 表 4-4 を参照してください。 使用可能なメモリが、要求されたメモリよりも少ない場合は、NAM は要求されたメモリよりも少ないメモリを付与します。 [Wrap when Full] をオンにすると、連続キャプチャをイネーブルになります(セッションがいっぱいの場合は、新しい入力パケット用の空きを作成するために、古いパケット データが削除されます)。[Wrap when Full] がオフの場合は、データ量がセッション サイズに達すると、キャプチャは終了します。 |
|
|
[File Size] の値を入力します(NAM アプライアンスおよび NAM-3 のファイル サイズは 1 ~ 2 GB から、最大で 10 GB です)。作業ファイル用に、約 400 MB の空きディスク領域が予約されます。使用可能なディスク領域が 400 MB を下回る場合は、ディスクへのキャプチャ セッションを新たに開始することはできません。 表 4-4 、 「NAM プラットフォームの最大キャプチャ セッション サイズ」 を参照してください。 |
|
[Rotate Files] チェックボックスをオンにすると、連続キャプチャでファイルをローテーションします。リモート ストレージまたは NAM 2200 シリーズ アプライアンスでのみ使用できます。リモート ストレージの設定については、「データ ストレージへのキャプチャ」を参照してください。 [Rotate Files] オプションは、リモート ストレージまたは NAM 2200 シリーズ アプライアンスのローカル ディスクでのみ使用できます。リモート ストレージの設定については、「データ ストレージへのキャプチャ」を参照してください。 [Rotate Files] オプションを選択している場合に、ファイル数が最大数に達すると、最も古いファイルが上書きされます。たとえば、[No. Files] を 10 に指定し、NAM がキャプチャ データをファイル CaptureA_10 に書き込んだ場合、次の書き込み時にはファイル CaptureA_1 が上書きされます。最近のキャプチャを判別するには、各ファイルのタイムスタンプをチェックします。 |
||
[File Location] から場所を選択します。このリストには、使用可能な格納先(Ready 状態)のみが表示されます。デフォルトはローカル ディスクですが、以前に設定したリモート ストレージの場所も選択できます。デフォルトはローカル ディスクですが、以前に設定したリモート ストレージの場所も選択できます。[Capture] > [Packet Capture/Decode] の順にクリックし、リモート ストレージの場所を追加できます。 |
1.Nexus 仮想ブレード(VB)にはデータ ポートがないので、このオプションは使用できません。WAAS 仮想ブレードは、キャプチャ機能に対応していません。 |
表 4-4 に、NAM 5.1 がサポートするハードウェア プラットフォームと、その最大セッション サイズを示します。これは、すべてのキャプチャ セッションの合計の最大キャプチャ メモリ バッファ サイズであり、個々のキャプチャ セッションの最大値ではありません。
|
|
---|---|
複数のファイルにキャプチャする場合は、ファイル名に拡張子が追加されます。たとえば、キャプチャ名が CaptureA の最初のファイルは CaptureA_1、2 番めのファイルは CaptureA_2 といった具合にラベルが付けられます。
(注) ディスクにキャプチャするセッションを設定する場合、空きディスク領域と、キャプチャ ファイルを管理することが重要です。NAM では、空きディスク領域に格納できるよりも多くのキャプチャ ファイルを作成できます。たとえば、空きディスク領域が 400 MB しかないときに、それぞれ 160 MB のキャプチャ ファイルを格納する 2 つのキャプチャ セッションをセットアップしたとします。その直後に、以前のキャプチャ セッションがそれぞれ 160 MB のデータの書き込みを終える前に、空きディスク領域が 160 MB あることに気付き、120 MB のキャプチャ ファイルを追加で格納するキャプチャ セッションをセットアップします。すると、最終的にはディスク領域が足りなくなり、すべてのアクティブなキャプチャ セッションにエラーが発生します。
ステップ 4 [Submit] ボタンをクリックして、このセッションの設定を終了するか、このセッションのソフトウェア フィルタを設定します(次の項「ソフトウェア フィルタ」を参照)。
NAM-3 では、[Global Capture Settings] ボタンを使用し、すべてのキャプチャ セッションの設定を適用します。このボタンは、[Capture Sessions] ウィンドウと [Hardware Filters] ウィンドウの間の、右側にあります図 4-4)。
ここでは、「[Global Capture Settings] の設定」に関する詳細を説明します。
図 4-4 [Global Capture Settings] ボタンの場所
[Global Capture Settings] ダイアログ(図 4-5)には、[Global Packet Slicing] および [Error Packet] 設定があります。
図 4-5 [Global Capture Settings] ダイアログ
[Global Packet Slicing] はデフォルトでは [Disable] に設定されています。グローバル パケット スライスをイネーブルにするには、[Enable] オプション ボタンをクリックし、ドロップダウン メニューから [Packet Slice Size] を選択します。このメニューには、56 ~ 504 までの値が 16 バイト刻みで示されます。
この設定は、すべてのキャプチャ セッションに影響し、個々のキャプチャ セッションのソフトウェア スライス設定を無効にします([Global Packet Slicing] 設定の方が小さい場合)。たとえば、スライス フィールドが 100 に設定されたキャプチャ セッションがあるが、[Global Packet Slicing] が 56 に設定されている場合、すべてのパケットは 56 バイトにスライスされます。
[Error Packets] 設定は、エラー パケットをパケット キャプチャに転送するかどうかを指定します。エラー パケットとは、小さすぎる、または大きすぎるパケットや、CRC エラーが発生したパケットなど、通常はネットワーク インターフェイス カードによってドロップされるパケットです。エラー パケットは、ネットワークのトラブルシューティングに役立ちます。
デフォルトでは [Include in capture] に設定されており、パケット キャプチャには、エラーのあるパケットも、エラーのないパケットも含められます。[Exclude from capture] が選択されると、エラー パケットは除外され、パケット キャプチャには、エラーのないパケットのみが含められます。[Only error packets in capture] が選択されると、エラーのないパケットは除外され、パケット キャプチャには、エラーのあるパケットのみが含められます。この設定は、すべてのキャプチャ セッションに対して適用されます。
データをキャプチャするときに、関心のある情報以外のすべての情報を無視できる、特別なフィルタを作成し、保存することができます(図 4-2 を参照)。1 つのセッションに対し、複数のソフトウェア フィルタを設定できます(最大 6 つまで)。これにより、関心のあるトラフィックを絞り込むことができ、リソース(メモリまたはディスク領域)を節約できます。
NAM-3 では、複数のソフトウェア フィルタでは「OR(論理和)」を使用します。つまり、パケットがいずれかのソフトウェア フィルタを通過すると、そのパケットはキャプチャされます。
セッションを作成して開始すると、セッションを停止せずに編集することはできません。すでにキャプチャされたデータを含むセッションを編集すると、セッションがクリアされ、データが削除されることを示す警告が表示されます。警告を無視してセッションにフィルタを追加し、サブミットすると、新しいフィルタ設定が使用されます。
プロトコル解析の一番上のレイヤ(通常は、ポートに基づき、レイヤ 4 プロトコル)をフィルタするには、アプリケーション フィルタを使用します。転送プロトコル(UDP、TCP など)をフィルタするには、[IP Protocol] セレクタを使用する必要があります。たとえば、[IP Protocol] セレクタで [TCP] を選択すると、TCP を使用するすべてのパケットがフィルタされます。
次のいずれかに基づいて絞り込むソフトウェア フィルタを定義できます。
ソフトウェア キャプチャ フィルタを作成するには、次の操作を行います。
ステップ 1 [Capture] > [Packet/Capture Decode] > [Sessions] の順に選択します。[Configure Capture Session] ダイアログ ボックスが表示されます。
ステップ 2 ウィンドウの下半分に、設定されたソフトウェア フィルタが表示されます。新しいソフトウェア フィルタを作成するには、[Software Filters] エリアの下にある [Create] ボタンをクリックします。
[Software Filter] ダイアログ(図 4-6)が表示されます。
ステップ 3 各フィールドに、適切な情報を入力します。フィールドの説明については、 表 4-5 を参照してください。
|
|
|
---|---|---|
|
||
Mask |
• • MAC アドレスの場合は hh hh hh hh hh hh ( hh は 0 ~ 9 または a ~ 1 の 16 進数)を入力します。デフォルトは |
|
• • MAC アドレスの場合は hh hh hh hh hh hh ( hh は 0 ~ 9 または a ~ 1 の 16 進数)を入力します。デフォルトは |
||
|
• • MAC アドレスの場合は hh hh hh hh hh hh ( hh は 0 ~ 9 または a ~ 1 の 16 進数)を入力します。デフォルトは |
|
• • MAC アドレスの場合は hh hh hh hh hh hh ( hh は 0 ~ 9 または a ~ 1 の 16 進数)を入力します。デフォルトは |
||
|
• • • • • |
|
|
送信元がホスト A で宛先がホスト B の場合、双方向をイネーブルにすると、A から B および B から A のパケットがフィルタリングされます。 送信元がホスト A で宛先が指定されていない場合、双方向をイネーブルにすると、ホスト A へのパケットとホスト A からのパケットの両方がフィルタリングされます。 |
|
|
||
|
||
|
[Source Port(s)] フィールドに、1 つ以上のポートをコンマ区切りで入力します。 [Destination Port(s)] フィールドに、1 つ以上のポートをコンマ区切りで入力します。 [IP Protocol] プルダウン メニューから、[TCP]、[UDP]、または [SCTP] を選択します。何も選択されていなければ(デフォルト)、すべて許容されることを意味します。 |
2.プロトコル解析の一番上のレイヤ(通常は、ポートに基づき、レイヤ 4 プロトコル)をフィルタするには、アプリケーション フィルタを使用します。転送プロトコル(UDP、TCP など)をフィルタするには、[IP Protocol] セレクタを使用する必要があります。たとえば、[IP Protocol] セレクタで [TCP] を選択すると、TCP を使用するすべてのパケットがフィルタされます。 |
(注) 上記の表で説明したパラメータは、NAM によって個別に評価されます。したがって、NAM では矛盾するパラメータを入力できますが、一致しなければ意味のある結果を得ることはできません。
たとえば、[Network Encapsulation] と [Source/Destination Address] パラメータは、個別に評価されています。ここで、[Network Encapsulation] には [IP4]、[Source Address] には IPv6 アドレスを入力するなど、矛盾するパラメータを持つフィルタが指定された場合は、どのトラフィックにも一致しないため、結果として、パケットはキャプチャされません。
ステップ 4 [Submit] ボタンをクリックしてフィルタを作成するか、[Cancel] をクリックしてソフトウェア フィルタを作成せずにダイアログ ボックスを閉じます。
ソフトウェア キャプチャ フィルタを編集するには、次の操作を行います。
ステップ 1 [Capture] > [Packet/Capture Decode] > [Sessions] の順に選択します。
ページの下に [Software Filters] ボックスが表示されます。
ステップ 2 編集するフィルタを選択し、[Edit] をクリックします。
[Software Filter] ダイアログ ボックス(表 4-5 を参照)が表示されます。
• 変更内容を適用するには、[Submit] をクリックします。
• 変更をキャンセルするには、[Cancel] をクリックします。
NAM-3 ハードウェア フィルタでは、無関係のトラフィックを排除することにより、キャプチャのパフォーマンスを向上できます。これは、ハードウェア フィルタによって絞り込まれるパケットは、NAM によって処理されないからです。また、パケットの一部だけをキャプチャし、残りを破棄するよう NAM に指示できるため、ハードウェア フィルタを使用し、キャプチャ デコードにおいて特定のパケットを探すこともできます。
ハードウェア フィルタのグローバル パケット スライスは、すべてのキャプチャ セッションに影響します。アーキテクチャの概念については、 NAM キャプチャ セッション、図 4-2を参照してください。
Cisco Prime Network Analysis Module(NAM) では、最大 4 つのハードウェア フィルタをサポートできます。ハードウェア フィルタは、削除せずに無効にできます。
ハードウェア フィルタ論理には、AND(論理積)と OR(論理和)の 2 つのレベルがあります。各フィルタに対し、AND/OR 論理で条件を設定できます。同一フィルタでは、同じタイプしか使用できません。また、同一フィルタ内では AND/OR 論理を混合させることはできません。また、フィルタを AND/OR 論理で組み合わせることもできます。使用できるフィルタ論理の例については、図 4-7 を参照してください。
選択肢については、次の項で説明します。特定の結果を得る方法について詳しくは、「例」を参照してください。
ソフトウェア フィルタは、フィルタ処理に柔軟性を与えますが、最も効率的なのはハードウェア フィルタです。ソフトウェア フィルタを必要とするトラフィックが少なければ少ないほど、より効果的なフィルタ処理を行えます。
ハードウェア フィルタの設定と管理に関する情報については、次のトピックを参照してください。
• 「例」
[Capture] > [Packet Capture/Decode] > [Sessions] の順に選択すると、Cisco NAM で設定されたハードウェア フィルタのステータスと設定を表示できます。[Sessions] ページの下に [Hardware Filters] ボックスが表示されます。
図 4-8 [Capture] > [Packet Capture/Decode] > [Sessions] の [Hardware Filters] ウィンドウ
[Hardware Filters] ウィンドウ には、定義されたハードウェア フィルタのステータスと設定が表示されます。ハードウェア フィルタでキャプチャを設定するには、次の操作を行います。
ステップ 1 [Capture] > [Packet/Capture Decode] > [Sessions] の順に選択します。ウィンドウの上半分には [Capture Sessions]、下半分には [Hardware Filters] が表示されます。
ステップ 2 ウィンドウ下部の [Hardware Filters] セクションで [Create] ボタンをクリックします。[Hardware Filter] ダイアログが開きます。
ステップ 3 [Name] フィールドにハードウェア フィルタの名前を入力します。
ステップ 4 [Enable] チェックボックスをオンにして、フィルタを有効にします。[Enable] チェックボックスがオフの状態でフィルタが作成されると、フィルタは保存されますが、アクティブ化されません。フィルタを編集し、[Enable] チェックボックスをオンにすると、後から有効にすることもできます。
ステップ 5 [AND] または [OR] オプション ボタンを選択します。ここでの選択は、次の手順で行うすべての選択にも適用されます(選択肢は 表 4-6 で説明します)。
ステップ 6 フィルタする属性のボックスをオンにし、対応するドロップダウン メニューから目的のオプションを選択します。すべてのチェックボックスをオンにするには、[Check All] チェックボックスをオンにします。 表 4-6 を参照してください。
|
|
|
---|---|---|
|
||
|
||
|
||
|
||
|
||
|
||
|
||
|
||
|
||
|
ステップ 7 次のそれぞれを行うには、以下の各ボタンをクリックします。
• ハードウェア フィルタの設定を完了するには [Apply]
[Hardware Filter Settings] では、すべてのキャプチャ ハードウェア フィルタに対するグローバル設定を指定します。すべてのハードウェア フィルタに適用される設定を追加するには、次の手順に従います。
ステップ 1 [Capture] > [Packet/Capture Decode] > [Sessions] の順に選択します。
ステップ 2 下の [Hardware Filters] セクションで、[Hardware Filter Settings] ボタンをクリックします。
ステップ 3 すべてのハードウェア フィルタに設定される、[AND] または [OR] 組み合わせ論理を選択します。この論理は、フィルタを組み合わせるために使用されます。図 4-7 の緑色のテキストを参照してください。
ステップ 4 [Include in capture] または [Exclude from capture] パケット照合論理を選択します。この選択肢は、設定されたすべてのハードウェア フィルタに適用されます。
[Exclude from capture] は、設定されたすべてのハードウェア フィルタに一致するパケットを破棄します。一方で、一致しないパケットはすべてキャプチャされます。
10.1.1.0/24 サブネットからのすべての HTTP トラフィックをキャプチャするには、次の手順に従います。
ステップ 1 [Hardware Filters] ウィンドウで [Create] ボタンをクリックします。
ステップ 3 論理 [AND] オプション ボタンを選択します(つまり、以下の選択肢が組み合わせられます)。
ステップ 4 [Source IP Address] チェックボックスをオンにし、サブネット「10.1.1.0/24」を入力します。
ステップ 5 [L4 Source Port] チェックボックスをオンにし、HTTP ポート「80」を入力します。
ステップ 1 [Hardware Filters] ウィンドウで [Create] ボタンをクリックします。
ステップ 3 論理 [AND] オプション ボタンを選択します。
ステップ 4 [Destination IP Address] を選択し、前と同じサブネット「10.1.1.0/24」を入力します。
ステップ 5 [L4 Destination Port] を選択し、同じポート番号「80」を入力します。
ステップ 7 着信と発信を表示するには、[Hardware Filter Settings] をクリックし、[OR] 論理を選択します。これにより、2 つのハードウェア フィルタが OR 論理で組み合わせられます。
VLAN 100 からのすべての TCP トラフィックを表示するには、次の手順に従います。
ステップ 1 [Hardware Filters] ウィンドウで [Create] ボタンをクリックします。
ステップ 3 論理 [AND] オプション ボタンを選択します。
ステップ 4 [VLAN] を選択し、VLAN「100」を入力します。
ステップ 5 [L4 Protocol] を選択し、[TCP] を選択します。
複数のホスト(1.1.1.1、2.2.2.2...)間で送受信されるトラフィックを表示するには、次の手順に従います。
ステップ 1 [Hardware Filters] ウィンドウで [Create] ボタンをクリックします。
ステップ 3 論理 [OR] オプション ボタンを選択します。
ステップ 4 [Source IP Address] チェックボックスをオンにし、1 つめのホスト「1.1.1.1」を入力します。
ステップ 5 [Destination IP Address] チェックボックスをオンにし、同じホスト「1.1.1.1」を入力します。
ステップ 7 [Create] ボタンをクリックし、2 つめのハードウェア フィルタを作成します。
ステップ 8 [Name] フィールドにハードウェア フィルタの名前を入力します。
ステップ 9 論理 [OR] オプション ボタンを選択します。
ステップ 10 [Source IP Address] チェックボックスをオンにし、2 つめのホスト「2.2.2.2」を入力します。
ステップ 11 [Destination IP Address] チェックボックスをオンにし、2 つめのホスト「2.2.2.2」を入力します。
ステップ 13 必要であれば、3 つめ、4 つめのホストに対して ステップ 7 から ステップ 12 を繰り返します。
ステップ 14 [Hardware Filter Settings] ボタンをクリックし、論理 [OR] オプション ボタンを選択します。
VLAN 10 から 20 のすべてのトラフィックを表示するには、次の手順に従います。
ステップ 1 [Hardware Filters] ウィンドウで [Create] ボタンをクリックします。
ステップ 3 [VLAN IDs] チェックボックスをオンにし、ドロップダウン メニューから [Greater Than] を選択します。
ステップ 4 空白のフィールドに、VLAN 範囲の下限である「9」を入力します。
ステップ 6 [Create] ボタンをクリックし、2 つめのフィルタを作成します。
ステップ 8 [VLAN IDs] チェックボックスをオンにし、ドロップダウン メニューから [Less Than] を選択します。
ステップ 9 空白のフィールドに、VLAN 範囲の下限である「21」を入力します。
ステップ 11 [ Hardware Filter Settings ] ボタンをクリックして [AND] オプション ボタンを選択します。これにより、すべてのハードウェア フィルタの論理が組み合わせられます。
200 バイト以下の DATA PORT 1 にスパンされたすべてのトラフィックを表示するには、次の手順に従います。
ステップ 1 [Hardware Filters] ウィンドウで [Create] ボタンをクリックします。
ステップ 3 論理 [AND] オプション ボタンを選択します。
ステップ 4 [Data Port] ドロップダウン リストから [DATA PORT 1] を選択します。
ステップ 5 [Frame Length] チェックボックスをオンにし、ドロップダウン メニューから [Less Than] を選択します。
ステップ 6 空白のフィールドに、フレーム長の上限である「200」を入力します。
最初の MPLS ラベルが 300 のトラフィックを表示するには、次の手順に従います。
ステップ 1 [Hardware Filters] ウィンドウで [Create] ボタンをクリックします。
ステップ 3 [MPLS Label] チェックボックスをオンにします。
ステップ 4 空白のフィールドに、ラベル「300」を入力します。
ホスト 1.1.1.1 と 2.2.2.2 間の双方向の通信を表示するには、次の手順に従います。
ステップ 1 [Hardware Filters] ウィンドウで [Create] ボタンをクリックします。
ステップ 3 論理 [AND] オプション ボタンを選択します。
ステップ 4 [Source IP Address/Mask] チェックボックスをオンにし、ドロップダウン メニューから [Equal To] を選択し、1 つめのホスト「1.1.1.1」を入力します。
ステップ 5 [Destination Address/Mask] チェックボックスをオンにし、ドロップダウン メニューから [Equal To] を選択し、2 つめのホスト「2.2.2.2」を入力します。
ステップ 7 [Create] ボタンをクリックし、2 つめのハードウェア フィルタを作成します。
ステップ 8 [Name] フィールドにハードウェア フィルタの名前を入力します。
ステップ 9 論理 [AND] オプション ボタンを選択します。
ステップ 10 [Source IP Address/Mask] チェックボックスをオンにし、ドロップダウン メニューから [Equal To] を選択し、2 つめのホスト「2.2.2.2」を入力します。
ステップ 11 [Destination Address/Mask] チェックボックスをオンにし、ドロップダウン メニューから [Equal To] を選択し、2 つめのホスト「1.1.1.1」を入力します。
ステップ 13 [Hardware Filter Settings] ボタンをクリックし、[OR] オプション ボタンを選択します。
前の例では、パケットに照合するフィルタを設定しました。ネガティブ フィルタ論理では、これらをブロックします。
前の例の通信以外のすべてを表示するには、次の手順に従います。
ステップ 1 [Hardware Filters] ウィンドウで [Hardware Filter Settings] ボタンをクリックします。
ステップ 2 [Packet Match Logic] では [Exclude from capture] オプション ボタンを選択します。
キャプチャ セッションのソフトウェア フィルタを設定する方法については、次の項「ソフトウェア フィルタ」を参照してください。
ハードウェア フィルタを使用すると、無関係のフィルタをできるだけ多く排除する、ハードウェア固有のフィルタを提供することにより、キャプチャのパフォーマンスを向上できます。ハードウェア フィルタによってフィルタされたパケットは NAM によって処理されないため、キャプチャのパフォーマンスも高くなります。
ソフトウェア フィルタは、フィルタ処理に柔軟性を与えますが、キャプチャ セッションの効率性は、ハードウェア フィルタだけを使用した場合に最も高くなります。ソフトウェア フィルタを必要とするトラフィックが少なければ少ないほど、より効果的なフィルタ処理を行えます。
詳しくは、「ハードウェア フィルタの設定」を参照してください。
[Hardware Filters] ウィンドウは、[Capture] > [Packet Capture/Decode] > [Sessions] ウィンドウの下に表示されます。ハードウェア フィルタを設定するには、次の操作を行います。
ステップ 1 [Capture] > [Packet/Capture Decode] > [Sessions] の順に選択します。
ステップ 2 ウィンドウの下の、[Hardware Filters] セクションで [Create] ボタンをクリックします。
ステップ 4 [Type] ドロップダウン リストから次のいずれかのタイプを選択します。
• VLAN
• IP
ステップ 5 選択したハードウェア フィルタのタイプに対応する、データ フィールドが表示されます。目的のフィールドを入力します。詳細については、次の項を参照してください。
ステップ 6 キャプチャ セッションの設定を完了するには、[Submit] をクリックします。それ以外の場合は、[Reset] をクリックして前の設定に戻すか、[Cancel] をクリックして中断します。
VLAN ハードウェア フィルタを設定するには、次の操作を行います。
ステップ 2 [Type] ドロップダウン メニューから [VLAN] を選択します。
ステップ 3 [Range] または [Individuals] オプション ボタンを選択します。[Range] の場合は、VLAN の範囲を入力します。[Individuals] の場合は、個別の VLAN を最大で 4 つまで入力します。
VLAN および IP ハードウェア フィルタを設定するには、次の操作を行います。
ステップ 2 [Type] ドロップダウン メニューから [VLAN and IP] を選択します。
ステップ 3 目的の VLAN の ID を入力します。VLAN ID の範囲は、1 ~ 4095 です。
ステップ 4 [Source Address / Mask] に入力します(オプション)。
ステップ 5 [Destination Address / Mask] に入力します(オプション)。
ステップ 6 [Layer 4 Protocol] を選択します(オプション)。
IP ハードウェア フィルタを設定するには、次の操作を行います。
ステップ 2 [Type] ドロップダウン メニューから、[IP] を選択します。
ステップ 3 [Source Address / Mask] に入力します(オプション)。
ステップ 4 [Destination Address / Mask] に入力します(オプション)。
ステップ 5 [Layer 4 IP Protocol] を選択します(オプション)。
IP および TCP/UDP ハードウェア フィルタを設定するには、次の操作を行います。
ステップ 2 [Type] ドロップダウン メニューから、[IP and TCP/UDP] を選択します。
ステップ 3 [Source Address / Mask] に入力します(オプション)。
ステップ 4 [Destination Address / Mask] に入力します(オプション)。
ステップ 5 [IP Protocol] で [TCP] または [UDP] を選択します。
ステップ 6 [TCP/UDP Source Port] に入力します(オプション)。
ステップ 7 [TCP/UDP Destination Port] に入力します(オプション)。
IP およびペイロード データ ハードウェア フィルタを設定するには、次の操作を行います。
ステップ 2 [Type] ドロップダウン メニューから、[IP and Payload Data] を選択します。
ステップ 3 [Source Address / Mask] に入力します(オプション)。
ステップ 4 [Destination Address / Mask] に入力します(オプション)。
ステップ 5 [IP Protocol] で [TCP] または [UDP] を選択します。
ステップ 6 [Payload Data] の値を入力します。
• [Offset] に 1 ~ 1023 の値を入力します。オフセットは、ペイロードの始めに相対的な値です(レイヤ 5)。
• [Value] に最大 4 バイトの値を入力します(8 つの 16 進数)。
• [Mask] に最大 4 バイトの値を入力します(8 つの 16 進数)。
ステップ 7 最大 4 つのペイロード データ セグメントに対し、ステップ 6 を繰り返します。
(注) 必要なのは、1 つのペイロード セグメント(1 行)だけです。ペイロード セグメントが重複しないよう注意してください。重複するセグメントに異なる値がある場合は、固有の論理積により、フィルタは何にも一致しなくなります。
ペイロード データ ハードウェア フィルタを設定するには、次の手順に従います。
ステップ 2 [Type] ドロップダウン メニューから、[Payload Data] を選択します。
ステップ 3 [IP Protocol] で [TCP] または [UDP] を選択します。
ステップ 4 [Payload Data] の値を入力します。
• [Offset] に 1 ~ 1023 の値を入力します。オフセットは、ペイロードの始めに相対的な値です(レイヤ 5)。
• [Value] に最大 4 バイトの値を入力します(8 つの 16 進数)。
• [Mask] に最大 4 バイトの値を入力します(8 つの 16 進数)。
ステップ 5 最大 4 つのペイロード データ セグメントに対し、ステップ 4 を繰り返します。
(注) 必要なのは、1 つのペイロード セグメント(1 行)だけです。ペイロード セグメントが重複しないよう注意してください。重複するセグメントに異なる値がある場合は、固有の論理積により、フィルタは何にも一致しなくなります。
保存済みのキャプチャ ファイルをデコード、ダウンロード、名前変更、変換/マージ、削除、分析、またはエラースキャンするには、[Files] オプションを使用します。キャプチャ セッションをファイルに保存する方法については、「キャプチャ セッション」、 表 4-2 を参照してください。ファイルは、.enc または .pcap ファイル形式でダウンロードされます。ダウンロード ファイル形式の設定については、「初期設定」を参照してください。
[Capture] > [Packet Capture/Decode] > [Files] を選択すると、[Capture Files] ウィンドウが表示されます。[Capture Files] ウィンドウには、次の情報が表示されます。
Cisco 2200 シリーズ アプライアンスを使用する場合は、NAM は xxx.pcap ファイルを作成します。ダウンロード ボタンをクリックすると、ダウンロード操作を許可したかキャンセルしたかにかかわらず、xxx.pcap ファイルが作成されます(ダウンロード ボタンがクリックされると、xxx.pcap ファイルが作成されます)。アプライアンスを使用している 1 つのキャプチャのファイル数が、別の NAM プラットフォームからのキャプチャよりも 1 つ多くなるのは、このためです。
|
|
---|---|
|
|
|
ファイルを .enc または .pcap 形式でコンピュータに保存します。 ![]() (注) ファイル名を入力する場合は、ファイル拡張子を付加しないでください。拡張子 .pcap は自動的に付加されます。 ![]() (注) .capture から .pcap への変換は、キャプチャ ファイルをダウンロードすると行われます。終了したら、.pcap ファイルを手動で削除する必要があります。 |
|
ファイルの名前を変更します。ダイアログ ボックスが表示され、選択されたキャプチャ ファイルに対して新しい名前を入力するよう求められます。 |
|
ファイルのパケットがマージされます(古い順)。ダイアログ ボックスが表示され、マージされたキャプチャ ファイルに対して新しい名前を入力するよう求められます。マージされたキャプチャ ファイルの名前を入力し、[OK] を選択します。 ![]() (注) マージされたファイルは、2 GB を超えることはできません。 Cisco NAM 2200 シリーズ アプライアンスでは、このボタンは [Convert/Merge] と呼ばれます。このボタンを使用すると、.capture ファイルを .pcap ファイルに変換できるので、そのファイルに対して [Error Scan] および [Analyze] 機能を実行できます。そうしなければ、アプライアンスに表示のみされる.capture ファイルに対し、[Analyze] および [Error Scan] 機能を実行できません。 |
|
|
|
選択されたキャプチャの統計分析を表示します。「キャプチャ ファイルの分析」を参照してください。 |
|
ファイルに関する詳細を表示します([Packed ID]、[Protocol]、[Severity]、[Group]、および [Description])。ここから、パケットをデコードすることもできます。詳細については、「Error Scan」を参照してください。 |
(注) NAM 2200 シリーズ アプライアンスのキャプチャ ファイルは、NAM のネイティブ形式で保存されます。[Capture] > [Packet Capture/Decode] > [Files] ウィンドウの [Convert/Rename/Merge] ボタンを使用すると、キャプチャ ファイル形式を .pcap に変換することができます。
[Capture Files] ウィンドウ([Capture] > [Packet Capture/Decode] > [Files])では、キャプチャ期間のトラフィック レート(バイト/秒)、ネットワーク トラフィックに関連付けられたホスト、通信、およびアプリケーションのリストを含むさまざまな統計情報を取得できます。
このウィンドウでは、特定のネットワーク トラフィック セットのより詳細な表示にドリル ダウンすることもできます。[Traffic over Time] グラフの上のペインでは、[From:] および [To:] フィールドにグラフに示されている時間が表示されます。また、[Protocol] フィールド、[Host/subnet] フィールド、および [Drill-Down] ボタンもあります。
(注) トラフィックの送信元ホストまたは宛先ホストが、指定されたホスト/サブネットに属する場合は、[Drill-Down] ボタンをクリックすると、[Host Statistics] 結果テーブルには送信元ホストと宛先ホストがどちらも表示されます。
[Traffic over Time] グラフの各スライスには、キャプチャ ファイルの [Granularity] に設定された一定時間のトラフィック量が表示されます。
[From:] および [To:] フィールドに時間を入力し、[Drill-Down] をクリックすると、特定の時間に関するより詳細な情報を表示できます。また、特定の [Protocol] または [Host/subnet] アドレスについてドリルダウンすることもできます。
表 4-8 に、[Capture Analysis] ウィンドウのさまざまな領域を示します。
|
|
---|---|
|
キャプチャされたパケット数、キャプチャされたバイト数、平均パケット サイズ、キャプチャの開始時間、キャプチャ期間、データ転送レート(バイト/秒とビット/秒の両方)を含む、表示されたキャプチャの要約を示します。 |
|
|
|
|
|
(注) この機能は、.pcap ファイルでは使用できますが、.capture ファイルでは使用できません。
[Capture Errors and Warnings Information] ウィンドウは、警告とエラー、および不正パケットに関する情報を表示します。このウィンドウから、パケットの詳細にドリルダウンできる [Packet Decode] ウィンドウを開くことができます(テーブルで行を選択し、[Decode Packet] ボタンをクリック)。
[Capture Errors] および [Warnings Information] ウィンドウを表示するには、[Capture] > [Packet Capture/Decode] > [Files] の順に選択します。ファイルを強調表示し、[Errors scan] ボタンをクリックします。
[Error Scan] ウィンドウを図 4-9 に示します。
フィールドを 表 4-9 に示します。
|
|
---|---|
|
|
|
|
|
|
|
[Response Code]:アプリケーションの応答コードに問題がある |
|
一度に 1 つのキャプチャ ファイルしかダウンロードできません。キャプチャ ファイルをコンピュータにダウンロードするには、次の操作を行います。
ステップ 1 [Capture] > [Packet/Capture Decode] > [Files] の順に選択します。
ステップ 2 キャプチャのリストからキャプチャ ファイルを選択します。
[File Download] ダイアログ ボックスが表示され、「Do you want to save this file?」という、ファイルの保存を確認するメッセージが表示されます。
[Save As] ダイアログ ボックスが開きます。ここで、ファイルの名前を変更し、選択した場所にそのファイルを保存できます。
ステップ 1 [Capture] > [Packet/Capture Decode] > [Files] の順に選択します。
ステップ 2 チェックボックスをオンにし、キャプチャのリストからキャプチャ ファイルをします。必要であれば、1 つ以上のキャプチャ ファイルを選択することもできます。
ステップ 3 [Delete] をクリックします。ダイアログ ボックスが表示され、「Delete the following file(s)?」という、ファイルの削除を確認するメッセージとファイル名が表示されます。
ステップ 4 ファイルを削除するには [OK] をクリックします。または、ファイルをそのまま残すには [Cancel] をクリックします。
一度にすべてのキャプチャ ファイルを削除するには、次の操作を行います。
ステップ 1 [Capture] > [Packet/Capture Decode] > [Files] の順に選択します。
ステップ 2 少なくとも 1 つのチェックボックスをオンにし、キャプチャを選択します。
ステップ 3 [Delete All] ボタンをクリックして、すべてのキャプチャを削除します。
ダイアログ ボックスが表示され、「Are you sure you want to delete all files?」という、すべてのキャプチャ ファイルの削除を確認するメッセージが表示されます。
ステップ 4 すべてのファイルを削除するには [OK] をクリックします。または、ファイルをそのまま残すには [Cancel] をクリックします。
すべてのプラットフォームの Cisco Prime Network Analysis Module(NAM) では、外部ストレージ接続を提供しているので、より長いキャプチャ期間と、より高いキャプチャ帯域幅に対応できます。すべてのプラットフォームで iSCSI データ ストレージがサポートされています。NAM-3 プラットフォームのみ、iSCSI に加え、SAS および FCoE をサポートしています。
NAM-3 では、iSCSI、SAS、および FCoE 接続を同時に使用できます。外部データ ストレージの設定の概要については、図 4-10 を参照してください。
外部ストレージのインストールと設定の手順については、Cisco.com で提供されている、プラットフォームのガイドを参照してください。
『Cisco Prime Network Analysis Module (NAM-3) Catalyst 6500 Series Switch Installation and Configuration Note 5.0(1T)』
http://www.cisco.com/en/US/docs/net_mgmt/network_analysis_module_software/5.0_1_T/switch/installation/guide/instcfg.html
『Configuration Guides for Nexus 5000 Series Switches』
http://www.cisco.com/en/US/products/ps9670/products_installation_and_configuration_guides_list.html
NAM では、外部ストレージ管理は NAM メニュー [Capture] > [Packet Capture/Decode] > [Data Storage] で行われます。このウィンドウには、検出されたストレージ デバイス(内蔵のハード ドライブも含む)がリストされます。
一部のアレイは複数のストレージ コントローラ モジュールを使用するため、多くの場合、モジュールの所有権は各 LUN にマッピングされます。これは、一般的なセキュリティ機能です。NAM がストレージ アレイ LUN にアクセスできるかどうかを確認するには、[Capture] > [Packet Capture/Decode] > [Data Storage] の順に選択します。
NAM-3 によって使用されていない新しい LUN(論理ユニット番号)のステータスは [Unformatted] になります。これらの LUN をキャプチャで使用できるよう準備するには、LUN を選択し、[Format] ボタンをクリックします。数分後、ステータスは [Ready] に変わります。
LUN にユーザ ラベルを適用すると、区別しやすくなります。LUN にラベルを付けるには、[Label] ボタンをクリックします。[Label] ダイアログに、現在のラベルと、LUN が最後にフォーマットされた日時に関する情報が表示されます。
キャプチャ セッションで LUN を使用するには、次の操作を行います。
ステップ 1 [Capture] > [Packet/Capture Decode] > [Sessions] の順に選択します。
ステップ 2 [Capture Sessions] テーブルの下の [Create] ボタンをクリックします。
ステップ 3 セッションを作成するために適切なフィールドに入力し、[Storage Type] では [Files] オプションを選択します。
ステップ 4 [File Location] ドロップダウンを使用し、目的の LUN を選択します。各リスト項目には、プロトコルと、モデルまたはユーザ ラベル(設定されている場合)が含まれます。リストには、[Ready] 状態のターゲットのみが表示されるので注意してください。
ステップ 5 [Submit] をクリックしてセッションを作成するか、[Cancel] をクリックして前のウィンドウに戻ります。
セッションが作成されると、関連する LUN の状態は [In Use] に変わります。この時点では、セッションが削除されるまでは、他のセッションはこの LUN を使用できません。これにより、競合、破損データ、および書き込み帯域幅の劣化を防ぐことができます。
外部ストレージにキャプチャされたファイルは、内部の [Capture] > [Packet Capture/Decode] > [Files] ページと同じ方法でデコードできます。このページには、対象となる LUN を選択するためのドロップダウンがあります。ファイルのテーブルには、その LUN のすべてのキャプチャ ファイルが表示されます。
外部ストレージ デバイスを物理的に切断する前に、[Capture] > [Packet Capture/Decode] > [Storage] の [Unmount] ボタンを使用することを推奨します。これにより、デバイスが切断されることが NAM に通知され、NAM は重要なクリーンアップ手順を実行します。その後、ストレージ先は、ステータス列に [Unmounted] と表示され、外部ストレージ デバイスを安全に切断できるようになります。NAM-3 の電源がオフになると、外部ストレージはこのようにして自動的に切断されます。
デバイスが、[Unmount] ボタンを使用して論理的に切断されたが、ストレージが物理的に接続されたままの場合は、[Mount] ボタンを使用して再アクティブ化できます。これにより、ストレージ先の以前の状態が復元されます。この操作では、ストレージを物理的に切断し、再接続する必要がないので、ストレージが自分から離れた場所にある場合に特に便利です。
以前は動作していたターゲットが [Unformatted] として表示された場合は、CLI を使用してファイルシステム チェックを行います。プロトコルがわかっている場合は、コマンド remote-storage <protocol> fsck <storage ID> を使用します。ストレージ ID は、 remote-storage <protocol> list を実行すると検索できます。ファイルシステム チェックにより、ファイルシステムの破損や状態に関する問題が解決されることもあります。コマンドが成功すると、ストレージが自動的にマウントされ、[Ready] として表示されます。
パケットまたはファイルをいくつかキャプチャした後、Packet Decoder を使用してパケットの内容を表示できます。
[Packet Decoder] ウィンドウは、次の 4 つの部分で構成されます。
• プロトコル デコード(「詳細なプロトコル デコード情報の表示」を参照)
ステップ 1 [Capture] > [Packet Capture/Decode] > [Sessions] または [Capture] > [Packet Capture/Decode] > [Files] の順に選択します(デコードするタイプに基づく)。
ステップ 2 キャプチャ セッションまたはファイルを選択し、[Decode] ボタンをクリックします。[Packet Decoder] ウィンドウが表示されます。 表 4-10 に、NAM - [Packet Decoder] ウィンドウのパケット デコーダの操作を示します。
|
|
---|---|
|
|
|
|
|
|
|
|
|
[Display Filter] ダイアログを起動します 「Packet Decoder に表示されるパケットのフィルタリング」を参照してください。 |
|
選択した TCP パケットの TCP ストリームに従います。トラフィックのパターンによっては、長時間かかることがあります。 |
表 4-11 に、[Packet Browser] ペインに表示される情報を示します。
パケット ブラウザを使用して、キャプチャしたパケットのリストを表示したり、次のことを実行したりできます。
• プロトコル、IP アドレス、MAC アドレス、カスタム表示フィルタによるフィルタリング
• [Next]、[Previous]、および [Go To] ボタンを使用したキャプチャ セッションからのパケットのロード
(注) これらの機能を使用するには、キャプチャを一時停止または停止する必要があります。
Packet Decoder に表示されたパケットをフィルタするには、次の操作を行います。
ステップ 1 [Packet Decoder] ウィンドウで、[Display Filter] ボタンをクリックします。[Packet Decoder - Display Filter] ウィンドウが表示されます。
– [Inclusive] を選択すると、条件に一致するパケットが表示されます。
– [Exclusive] を選択すると、条件に一致しないパケットが表示されます。
– IP アドレスの場合は [IP address] フィルタを選択します。
– MAC アドレスの場合は [MAC Address] フィルタを選択します。
– [Source] では、送信元アドレスを指定できます。指定する必要のない場合は。空白のままにすることができます。
– [Destination] では、宛先元アドレスを指定できます。指定する必要のない場合は。空白のままにすることができます。
– [Both Directions] をオンにすると、どちらの方向に移動するパケットも照合できます。
– いずれかのプロトコルまたはフィールドの一致するパケットを表示するには、[Match any] を選択します。
– すべてのプロトコルまたはフィールドの一致するパケットを表示するには、[Match all] を選択します。
– [Protocols] リストからプロトコルを選択します。
(注) プロトコル名の先頭の数文字を入力して、目的のプロトコルに直接移動できます。入力ミスをした場合にリセットするには、ESC キーまたは SPACE キーを押します。
– 必要に応じて [Fields] リストからプロトコルのフィールドを選択し、フィールド値を選択します。
• [Custom Filter] を選択します。カスタム表示フィルタの設定方法については、「カスタム表示フィルタ」を参照してください。
ステップ 3 フィルタを適用し、ウィンドウを閉じるには、[OK] をクリックします。
フィルタを適用し、ウィンドウを開いたままにしておくには、[Submit] をクリックします。
すべてのフィールドをクリアするには、[Clear Filter] をクリックします。
操作を行わずにウィンドウを閉じるには、[Cancel] をクリックします。
詳細なプロトコル デコード情報を表示するには、次の操作を行います。
ステップ 1 詳細情報を必要とするパケット番号を強調表示します。
パケットに関する詳細情報が、[Protocol Decode] ペインおよびウィンドウ下部の 16 進数ダンプ ペインに表示されます。
(注) [Protocol Decode] ペインで詳細を強調表示すると、対応するバイトが下の 16 進数ダンプ ペインで強調表示されます。
ステップ 2 情報を調べるには、下部ペインのスクロール バーを使用します。
(注) SCCP トラフィックをデコードすると、NAM はプロトコルを SCCP としてではなく、スキニーとしてリストします。
• プロトコル情報を縮小および展開するには、[Protocol Decode] ペインでプロトコル名をクリックします。
• ペインのサイズを調整するには、ペイン フレームをクリックし、上または下にドラッグします。
定義されたアラーム イベントによって自動的に開始または中止される、複数のキャプチャを設定できます。アラームによってトリガーされるキャプチャを設定するには、次の操作を行います。
ステップ 1 [Setup] > [Alarms] > [Alarm Events] ウィンドウから、アラーム イベントを作成します。
データをキャプチャするイベントのタイプに対し、[Alarm Event] を設定します。詳細については、「アラーム アクション設定」を参照してください。
ステップ 2 [Setup] > [Alarms] > [Alarm Thresholds] ウィンドウから、イベントのしきい値を設定します。
関連する [Alarm Event] で、対象のパラメータのしきい値を設定します。詳細については、「しきい値」を参照してください。
ステップ 3 [Capture] > [Packet Capture/Decode] > [Sessions] ウィンドウから、キャプチャ セッションを設定します。[Create] をクリックします。
関連する [Alarm Event] に対し、[Start Event] または [Stop Event](またはその両方)を選択します。詳細については、「キャプチャ セッションの設定」を参照してください。
カスタム表示フィルタを使用して、カスタマイズしたフィルタを作成および保存すると、[Decode] ウィンドウで使用して表示するパケットを制限できます。
ステップ 1 [Capture] > [Packet/Capture Decode] > [Sessions] の順に選択します。
ページの下に [Hardware Filters] ボックスが表示されます。
ステップ 2 [Create] をクリックします。[Custom Decode Filter] ダイアログ ボックス( 表 4-12 )が表示されます。
|
|
|
---|---|---|
|
||
|
||
|
||
(MAC または IP) |
||
|
送信元がホスト A で宛先がホスト B の場合、双方向をイネーブルにすると、A から B および B から A のパケットがフィルタリングされます。 送信元がホスト A で宛先が指定されていない場合、双方向をイネーブルにすると、ホスト A へのパケットとホスト A からのパケットの両方がフィルタリングされます。 |
|
|
||
|
[absolute] を選択した場合、オフセットはパケットの絶対開始位置(たとえば、イーサネット フレームの先頭)から計算されます。 プロトコルを選択した場合、オフセットはパケットのプロトコル部分の先頭から計算されます。パケットにプロトコルが含まれていない場合、パケットはこの照合に失敗します。 |
|
|
hh hh hh ... ( hh は 0 ~ 9 または a ~ f の 16 進数)を入力します。使用しない場合は、空白にします。 |
|
|
最も単純なフィルタにより、プロトコルまたはフィールドの存在をチェックできます。たとえば、単純なフィルタ式 ipx を使用して、IPX プロトコルを含むすべてのパケットを表示できます。 |
「カスタム デコード フィルタ式作成のヒント」を参照してください。 |
• フィルタを作成するには、[Submit] をクリックします。
• フィルタの作成を取り消すには、[Cancel] をクリックします。
表 4-13 に示されている論理演算子および比較演算子を使用して、カスタム デコード フィルタ式を構築できます。
|
|
---|---|
カッコ内で部分式をグループ化することもできます。フィルタ式では次のフィールドを使用できます。
|
|
|
---|---|---|
n.n.n.n または n.n.n.n/s (n は 0 ~ 255 の数値、s は 0 ~ 32 のホストを含まないホスト名)。 |
||
[Custom Decode Filter] ダイアログ ボックスの [Protocol] リストをクリックして、フィルタリングできるプロトコルのリストを確認します。 |
||
• 111.122.133.144 からの SNMP パケットを照合するには、次のように入力します。
• 111.122 クラス B ネットワークからの IP パケットを照合するには、次のように入力します。
• ポート 80 への TCP パケットおよびポート 80 からの TCP パケットを照合するには、次のように入力します。
• TOS 値は、IP ヘッダーのバイト 1(2 番めのバイト)に保存されます。16 の TOS 値(0x10)を持つ IP パケットを照合するには、次のように入力します。
• TCP 確認応答番号は、TCP ヘッダーのバイト 8 ~ 11 に保存されます。確認応答番号 12345678(0xBC614E)を持つ TCP パケットを照合するには、次のように入力します。
(注) [Custom Decode Filter] ダイアログ ボックスでは、フィルタ式を他のフィールドと組み合わせて使用できます。この場合、フィルタ式は他の条件との論理積がとられます。
無効または矛盾するフィルタ式では、パケットは照合されません。
ステップ 1 [Capture] > [Packet Capture/Decode] > [Display Filters] の順に選択します。
ステップ 2 編集するフィルタを選択し、[Edit] をクリックします。
ステップ 3 必要に応じて、各フィールドの情報を変更します。
• 変更内容を適用するには、[Submit] をクリックします。
• 変更したページをクリアするには、[Reset] をクリックします。
• 変更を適用せずにページを終了するには、[Cancel] をクリックします。
ステップ 1 [Capture] > [Packet Capture/Decode] > [Display Filters] の順に選択します。
ステップ 2 削除するフィルタを選択し、[Delete] をクリックします。
ステップ 3 確認のダイアログ ボックスで、次のいずれかを選択します。