Packet Capture configureren op Content Security Appliance
Inhoud
Inleiding
Dit document beschrijft pakketregistratie op Cisco Secure Web Appliance (SWA), Email Security Appliance (ESA) en Security Management Appliance (SMA).
Voorwaarden
Vereisten
Cisco raadt kennis van de volgende onderwerpen aan:
- Beheer van Cisco Content Security Appliance.
Cisco raadt u aan om:
- Fysieke of virtuele SWA/ESA/SMA geïnstalleerd.
- Administratieve toegang tot de SWA/ESA/SMA Graphical User Interface (GUI).
- Administratieve toegang tot de SWA/ESA/SMA Command Line Interface (CLI)
Gebruikte componenten
Dit document is niet beperkt tot specifieke software- en hardware-versies.
De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.
Pakketvastlegging uitvoeren via GUI
Voer de volgende stappen uit om pakketten via de GUI vast te leggen:
Stap 1. Log in op de GUI.
Stap 2. Kies in de rechterbovenhoek van de pagina Ondersteuning en Help.
Stap 3. Selecteer Pakketvastlegging.
Image- Pakketvastlegging
Stap 4. (Optioneel) Als u het huidige filter wilt bewerken, kiest u Instellingen bewerken. (Raadpleeg het gedeelte Filters in dit document voor meer informatie over de filters.)
Stap 5. Start de vastlegging.
Afbeelding - Status en filters voor pakketopname
Opmerking: de maximale bestandsgrootte voor pakketopname is 200MB. Wanneer de bestandsgrootte 200MB heeft bereikt, stopt de pakketopname.
In het gedeelte Huidige pakketopname wordt de status van de pakketopname weergegeven, inclusief de bestandsgrootte en de toegepaste filters.
Afbeelding - Status pakketopname
Stap 6. Als u de pakketopname wilt stoppen, klikt u op Stoppen met vastleggen.
Stap 7. Als u het bestand Packet Capture wilt downloaden, kiest u het bestand in de lijst Manage Packet Capture Files en klikt u op Download File.
Image — Pakketvastlegging downloaden
Tip: Het laatste bestand staat bovenaan de lijst.
Stap 8. (Optioneel) Als u een pakketopnamebestand wilt verwijderen, kiest u het bestand in de lijst pakketopnamebestanden beheren en klikt u op Geselecteerde bestanden verwijderen.
Pakketvastlegging vanuit CLI uitvoeren
U kunt de pakketopname ook vanuit CLI starten met behulp van de volgende stappen:
Stap 1. Log in bij de CLI.
Stap 2. Typ packetcapture en druk op Enter.
Stap 3. (Optioneel) Als u het huidige filtertype SETUP wilt bewerken. (Raadpleeg het gedeelte Filters in dit document voor meer informatie over de filters.)
Stap 4. Kies START om de opname te starten.
SWA_CLI> packetcapture
Status: No capture running
Current Settings:
Max file size: 200 MB
Capture Limit: None (Run Indefinitely)
Capture Interfaces: Management
Capture Filter: (tcp port 80 or tcp port 3128)
Choose the operation you want to perform:
- START - Start packet capture.
- SETUP - Change packet capture settings.Stap 5. (Optioneel) U kunt de status van de pakketopname bekijken door STATUS te kiezen:
Choose the operation you want to perform:
- STOP - Stop packet capture.
- STATUS - Display current capture status.
- SETUP - Change packet capture settings.
[]> STATUS
Status: Capture in progress
File Name: S100V-420DFA7B8265ED011535-71BAE3E9E084-20241006-130426.cap
File Size: 0K
Duration: 45s
Current Settings:
Max file size: 200 MB
Capture Limit: None (Run Indefinitely)
Capture Interfaces: Management
Capture Filter: (tcp port 80 or tcp port 3128)Stap 6. Als u de pakketopname wilt stoppen, typt u STOP en drukt u op Enter:
Opmerking: Als u de Packet Capture-bestanden wilt downloaden die zijn verzameld via CLI, kunt u deze downloaden van de GUI of verbinding maken met het toestel via FTP (File Transfer Protocol) en downloaden uit de map Captures.
Filters
Hier zijn enkele handleidingen over de filters die u kunt gebruiken in de apparaten voor inhoudsbeveiliging.
Filter op host-IP-adres
Filter op host-IP in de GUI
Als u wilt filteren op het IP-adres van de host vanuit de GUI, hebt u twee opties:
- Vooraf gedefinieerde filters
- Aangepaste filters
U kunt als volgt voorgedefinieerde filters van de GUI gebruiken:
Stap 1. Kies Instellingen bewerken op de pagina Pakketvastlegging.
Stap 2. Selecteer Voorgedefinieerde filters in Pakketopnamefilters.
Stap 3. U kunt het IP-adres invoeren in de sectie Client IP of Server IP.
Opmerking: De keuze tussen client-IP of server-IP is niet beperkt tot het bronadres of het bestemmingsadres. Dit filter legt alle pakketten vast met het IP-adres dat is gedefinieerd als bron of bestemming.
Afbeelding- Filter op host-IP van vooraf gedefinieerde GUI-filters
Stap 4. Dien de wijzigingen in.
Stap 5. Start de vastlegging.
Tip: Het is niet nodig om wijzigingen vast te leggen, het nieuw toegevoegde filter is toegepast op de huidige opname. Het vastleggen van de wijzigingen helpt om het filter op te slaan voor toekomstig gebruik.
U kunt als volgt aangepaste filters en voorgedefinieerde filters van de GUI gebruiken:
Stap 1. Kies op de pagina Pakketvastlegging de optie Instellingen bewerken.
Stap 2. Selecteer Aangepast filter in Packet Capture Filters.
Stap 3. Gebruik de syntaxis van de host, gevolgd door het IP-adres.
Hier is een voorbeeld om al het verkeer te filteren met bron- of bestemmings-IP-adres 10.20.3.15
host 10.20.3.15Tip: Als u wilt filteren op meer dan één IP-adres, kunt u logische operanden gebruiken, zoals of en en (alleen kleine letters).
Afbeelding- Aangepast filter voor trek-IP-adressen
Stap 4. Dien de wijzigingen in.
Stap 5. Start de vastlegging
Filteren op host-IP in CLI
Om te filteren op het host-IP-adres van CLI:
Stap 1. Log in bij de CLI.
Stap 2. Typ packetcapture en druk op Enter.
Stap 3. Zo bewerkt u het huidige filtertype SETUP.
Stap 4. Beantwoord de vragen totdat u het filter bereikt dat moet worden gebruikt voor het vastleggen
Stap 5. U kunt dezelfde filtertekenreeks gebruiken als het aangepaste filter in de GUI.
Hier is een voorbeeld van het filteren van al het verkeer met bron of bestemming IP-adres 10.20.3.15 of 10.0.0.60
SWA_CLI> packetcapture
Status: No capture running (Capture stopped by user)
File Name: S100V-420DFA7B8265ED011535-71BAE3E9E084-20241006-130426.cap
File Size: 4K
Duration: 2m 2s
Current Settings:
Max file size: 200 MB
Capture Limit: None (Run Indefinitely)
Capture Interfaces: Management
Capture Filter: (tcp port 80 or tcp port 3128)
Choose the operation you want to perform:
- START - Start packet capture.
- SETUP - Change packet capture settings.
[]> SETUP
Enter maximum allowable size for the capture file (in MB)
[200]>
Do you want to stop the capture when the file size is reached? (If not, a new file will be started and the older capture data will be discarded.)
[N]> y
The following interfaces are configured:
1. Management
Enter the name or number of one or more interfaces to capture packets from, separated by commas:
[1]>
Enter the filter to be used for the capture.
Enter the word "CLEAR" to clear the filter and capture all packets on the selected interfaces.
[(tcp port 80 or tcp port 3128)]> host 10.20.3.15 or host 10.0.0.60
Filter op poortnummer
Filter op poortnummer in GUI
Als u wilt filteren op poortnummer(s), hebt u twee opties voor de GUI:
- Vooraf gedefinieerde filters
- Aangepaste filters
U kunt als volgt voorgedefinieerde filters van de GUI gebruiken:
Stap 1. Kies op de pagina Pakketvastlegging de optie Instellingen bewerken.
Stap 2. Selecteer Voorgedefinieerde filters in Packet Capture Filters.
Stap 3. Typ in het gedeelte Ports de poortnummers die u wilt filteren.
Tip: U kunt meerdere poortnummers toevoegen door ze te scheiden met komma " , ".
Afbeelding - Filter op poortnummer
Stap 4. Dien de wijzigingen in.
Stap 5. Start de vastlegging.
Let op: deze benadering vangt alleen TCP-verkeer met de gedefinieerde poortnummers op. Als u het UDP-verkeer wilt vastleggen, gebruikt u Aangepast filter.
Aangepaste filters van de GUI gebruiken:
Stap 1. Kies op de pagina Pakketvastlegging de optie Instellingen bewerken.
Stap 2. Selecteer Aangepast filter in Packet Capture Filters.
Stap 3. Gebruik de syntaxis van de poort gevolgd door het poortnummer.
Afbeelding - Aangepast filter op poortnummer
Opmerking: als u alleen de poort gebruikt, dekt dit filter zowel TCP- als UDP-poorten.
Stap 4. Dien de wijzigingen in.
Stap 5. Start de vastlegging.
Filter op poortnummer in CLI
Filteren op het poortnummer van CLI:
Stap 1. Log in bij de CLI.
Stap 2. Typ packetcapture en druk op Enter.
Stap 3. Zo bewerkt u het huidige filtertype SETUP.
Stap 4. Beantwoord de vragen totdat u het filter bereikt dat moet worden gebruikt voor het vastleggen
Stap 5. U kunt dezelfde filtertekenreeks gebruiken als het aangepaste filter in de GUI.
Hier is een voorbeeld van het filteren van al het verkeer met bron- of bestemmingspoort nummer 53, voor zowel TCP- als UDP-poorten:
SWA_CLI> packetcapture
Status: No capture running
Current Settings:
Max file size: 200 MB
Capture Limit: None (Run Indefinitely)
Capture Interfaces: Management
Capture Filter: (tcp port 80 or tcp port 3128)
Choose the operation you want to perform:
- START - Start packet capture.
- SETUP - Change packet capture settings.
[]> SETUP
Enter maximum allowable size for the capture file (in MB)
[200]>
Do you want to stop the capture when the file size is reached? (If not, a new file will be started and the older capture data will be discarded.)
[N]>
The following interfaces are configured:
1. Management
Enter the name or number of one or more interfaces to capture packets from, separated by commas:
[1]>
Enter the filter to be used for the capture.
Enter the word "CLEAR" to clear the filter and capture all packets on the selected interfaces.
[(tcp port 80 or tcp port 3128)]> port 53Filter in SWA met transparante implementatie
In SWA met transparante implementatie, terwijl de connectiviteit van het Web Cache Communication Protocol (WCCP) verloopt via GRE-tunnels (Generic Routing Encapsulation), zijn de IP-adressen van de router en het SWA IP-adres van de bestemming in de pakketten die naar of uit SWA komen.
Om de pakketopname met IP-adres of poortnummer van de GUI te kunnen verzamelen, zijn er twee opties:
- Vooraf gedefinieerde filters
- Aangepaste filters
Filter in SWA met transparante implementatie in GUI
Stap 1. Kies Instellingen bewerken op de pagina Pakketvastlegging.
Stap 2. Selecteer Voorgedefinieerde filters in Pakketopnamefilters.
Stap 3. U kunt het IP-adres invoeren in de sectie Client IP of Server IP.
Afbeelding - IP-adres configureren in voorgedefinieerde filters
Stap 4. Dien de wijzigingen in.
Stap 5. Start de vastlegging.
Opmerking: u kunt zien dat SWA na het indienen van het filter extra voorwaarden heeft toegevoegd in de sectie Geselecteerd filter.
Afbeelding - Extra filters toegevoegd door SWA om pakketten in GRE-tunnel te verzamelen
Aangepaste filters van de GUI gebruiken:
Stap 1. Kies Instellingen bewerken op de pagina Pakketvastlegging.
Stap 2. Selecteer Aangepaste filter in Pakketopnamefilters
Stap 3. Voeg eerst deze tekenreeks toe, gevolgd door het filter dat u wilt implementeren door of na deze tekenreeks toe te voegen:
(proto gre && ip[40:4] = 0x0a14030f) or (proto gre && ip[44:4] = 0x0a14030f) or (proto gre && ip[40:4] = 0x0a00003c) or (proto gre && ip[44:4] = 0x0a00003c) Als u bijvoorbeeld wilt filteren op de host-IP die gelijk is aan 10.20.3.15 of het poortnummer dat gelijk is aan 8080, kunt u deze tekenreeks gebruiken:
(proto gre && ip[40:4] = 0x0a14030f) or (proto gre && ip[44:4] = 0x0a14030f) or (proto gre && ip[40:4] = 0x0a00003c) or (proto gre && ip[44:4] = 0x0a00003c) or host 10.20.3.15 or port 8080Stap 4. Dien de wijzigingen in.
Stap 5. Start de vastlegging.
Filter in SWA met transparante implementatie in CLI
Transparante proxy-implementatie filteren vanuit CLI:
Stap 1. Log in bij de CLI.
Stap 2. Typ packetcapture en druk op Enter.
Stap 3. Zo bewerkt u het huidige filtertype SETUP.
Stap 4. Beantwoord de vragen totdat u het filter bereikt dat moet worden gebruikt voor het vastleggen
Stap 5. U kunt dezelfde filtertekenreeks gebruiken als het aangepaste filter in de GUI.
Hier is een voorbeeld om te filteren op de host IP gelijk aan 10.20.3.15 of het poortnummer gelijk aan 8080:
SWA_CLI> packetcapture
Status: No capture running
Current Settings:
Max file size: 200 MB
Capture Limit: None (Run Indefinitely)
Capture Interfaces: Management
Capture Filter: (tcp port 80 or tcp port 3128)
Choose the operation you want to perform:
- START - Start packet capture.
- SETUP - Change packet capture settings.
[]> SETUP
Enter maximum allowable size for the capture file (in MB)
[200]>
Do you want to stop the capture when the file size is reached? (If not, a new file will be started and the older capture data will be discarded.)
[N]>
The following interfaces are configured:
1. Management
Enter the name or number of one or more interfaces to capture packets from, separated by commas:
[1]>
Enter the filter to be used for the capture.
Enter the word "CLEAR" to clear the filter and capture all packets on the selected interfaces.
[(tcp port 80 or tcp port 3128)]> (proto gre && ip[40:4] = 0x0a14030f) or (proto gre && ip[44:4] = 0x0a14030f) or (proto gre && ip[40:4] = 0x0a00003c) or (proto gre && ip[44:4] = 0x0a00003c) or host 10.20.3.15 or port 8080Meest gebruikte filters
Hier is een tabel met de meest voorkomende filters:
|
Beschrijving |
filter |
|
Filter op bron IP-adres gelijk aan 10.20.3.15 |
SRC-host 10.20.3.15 |
|
Filter op bestemming IP-adres gelijk aan 10.20.3.15 |
DST-host 10.20.3.15 |
|
Filter op bron IP-adres gelijk aan 10.20.3.15 en bestemming IP-adres gelijk aan 10.0.0.60 |
(SRC-host 10.20.3.15) en (DST-host 10.0.0.60) |
|
Filter op bron of bestemming IP-adres gelijk aan 10.20.3.15 |
Gastheer 10.20.3.15 |
|
Filter op bron of bestemming IP-adres gelijk aan 10.20.3.15 of gelijk aan 10.0.0.60 |
host 10.20.3.15 of host 10.0.0.60 |
|
Filter op TCP-poortnummer gelijk aan 8080 |
TCP-poort 8080 |
|
Filter op UDP-poortnummer gelijk aan 53 |
UDP-poort 53 |
|
Filter op poortnummer gelijk aan 514 (TCP of UDP) |
Poort 514 |
|
Alleen UDP-pakketten filteren |
udp |
|
Alleen ICMP-pakketten filteren |
icmp |
|
Hoofdfilter voor elke vastlegging in transparante implementatie |
(Proto GRE && IP[40:4] = 0x0A14030F) of (Proto GRE && IP[44:4] = 0x0A14030F) of (Proto GRE && IP[40:4] = 0x0A00003C) of (Proto GRE && IP[44:4] = 0x0A00003C) |
Let op: alle filters zijn gevoelig.
Problemen oplossen
"Filter Error" is een van de meest voorkomende fouten tijdens het uitvoeren van de pakketopname.
Afbeelding - Filterfout
Deze fout is meestal gerelateerd aan een verkeerde filterimplementatie. In het vorige voorbeeld is het ICMP-filter voorzien van hoofdletters. Dit is de reden waarom u een filterfout ontvangt. Om dit probleem op te lossen, moet u het filter bewerken en de ICMP vervangen door icmp.
Gerelateerde informatie
Revisiegeschiedenis
| Revisie | Publicatiedatum | Opmerkingen |
|---|---|---|
1.0 |
18-Oct-2024 |
Eerste vrijgave |
FeedbackContact Cisco
- Een ondersteuningscase openen
- (Vereist een Cisco-servicecontract)