Coletar e solucionar problemas de captura de pacotes no Cisco ESA

Opções de download

  • PDF     (267.7 KB)
    Ver no Adobe Reader em vários dispositivos
Atualizado:22 de fevereiro de 2026
ID do documento:117797

Linguagem imparcial

O conjunto de documentação deste produto faz o possível para usar uma linguagem imparcial. Para os fins deste conjunto de documentação, a imparcialidade é definida como uma linguagem que não implica em discriminação baseada em idade, deficiência, gênero, identidade racial, identidade étnica, orientação sexual, status socioeconômico e interseccionalidade. Pode haver exceções na documentação devido à linguagem codificada nas interfaces de usuário do software do produto, linguagem usada com base na documentação de RFP ou linguagem usada por um produto de terceiros referenciado. Saiba mais sobre como a Cisco está usando a linguagem inclusiva.

Sobre esta tradução

A Cisco traduziu este documento com a ajuda de tecnologias de tradução automática e humana para oferecer conteúdo de suporte aos seus usuários no seu próprio idioma, independentemente da localização. Observe que mesmo a melhor tradução automática não será tão precisa quanto as realizadas por um tradutor profissional. A Cisco Systems, Inc. não se responsabiliza pela precisão destas traduções e recomenda que o documento original em inglês (link fornecido) seja sempre consultado.

    Introdução

    Este documento descreve como configurar e coletar capturas de pacotes no Cisco Email Security Appliance (ESA) para solução de problemas de rede.

    Componentes Utilizados

    As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a rede estiver ativa, certifique-se de que você entenda o impacto potencial de qualquer comando.

    Riscos e pré-requisitos importantes

    • Os comandos de captura de pacotes podem causar o preenchimento do espaço em disco do ESA e a degradação do desempenho.
    • A Cisco recomenda que você use esses comandos apenas com a ajuda de um engenheiro do Cisco TAC.
    • Verifique se você tem acesso administrativo à CLI ou à GUI do ESA.

    Informações de Apoio

    O Suporte Técnico da Cisco pode solicitar que você forneça informações sobre as atividades de rede de entrada e saída do ESA. O equipamento permite interceptar e exibir TCP, IP e outros pacotes transmitidos ou recebidos pela rede à qual o equipamento está conectado. Execute uma captura de pacotes para depurar a configuração da rede ou para verificar o tráfego de rede que chega ou sai do equipamento.

    Configurar capturas de pacotes no AsyncOS 

    Esta seção descreve o processo de captura de pacotes.

    Iniciar ou Interromper uma Captura de Pacotes

    1. Para iniciar uma captura de pacote na GUI, navegue para o menu Ajuda e suporte na parte superior direita, escolha Captura de pacote e clique em Iniciar captura.
      1. Como alternativa, clique em Edit Settings para especificar o(s) endereço(s) IP e a(s) porta(s) que deseja capturar e clique em Submit.
      2. Os números de porta e os endereços IP podem ser inseridos com o formato CSV (por exemplo: 80, 443). Para capturar QUALQUER porta ou IP, deixe o(s) campo(s) em branco. 
    2. Para interromper o processo de captura de pacotes, clique em Stop Capture.
      1. Uma captura que começa na GUI é preservada entre sessões.
    1. Para iniciar uma captura de pacote a partir da CLI, insira o comando packetcapture > start.
      1. Como alternativa, use o comando setup para especificar o(s) endereço(s) IP e a(s) porta(s) que deseja capturar. 
    2. Para interromper o processo de captura de pacotes, insira o comando packetcapture > stop.
      1. O ESA interrompe a captura de pacotes quando a sessão termina.

    Gerenciando capturas de pacotes

    Para gerenciar seus arquivos, navegue para Ajuda e suporte > Captura de pacotes na GUI. Nessa página, você pode:

    • Monitorar Andamento:Exibir estatísticas em tempo real de capturas ativas, incluindo tamanho do arquivo atual e tempo decorrido.
    • Download de arquivos:Selecione uma captura concluída e clique emDownload de arquivo para salvá-la em sua máquina local.
    • Excluir arquivos:para liberar espaço, selecione um ou mais arquivos e clique emExcluir arquivos selecionados.

    Restrições de captura de pacote

    • Instância única:somente uma captura de pacote pode ser executada por vez.
    • Independência de interface:A GUI e a CLI operam independentemente em relação às capturas de pacotes. A GUI exibe e gerencia apenas capturas iniciadas por meio da interface da Web, enquanto a CLI exibe apenas o status das capturas iniciadas por meio da linha de comando.

    Suporte adicional para capturas de pacotes

    Para obter instruções mais detalhadas, acesse a Ajuda online do AsyncOS:

    1. Navegue atéAjuda e suporte > Ajuda on-line.
    2. Procure por Captura de Pacotes.
    3. Selecione Executando uma captura de pacote.

    Usar filtros de captura de pacote personalizados

    Esta seção fornece informações sobre filtros de captura personalizados e fornece exemplos.

    Estes são os filtros padrão usados:

    • ip - Filtros para todo o tráfego de protocolo IP
    • tcp - Filtros para todo o tráfego do protocolo TCP
    • ip host - Filtros para uma origem ou um destino de endereço IP específico

    Estes são exemplos dos filtros em uso:

    • ip host 10.1.1.1 - Esse filtro captura qualquer tráfego que inclua 10.1.1.1 como origem ou destino.
    • ip host 10.1.1.1 ou ip host 10.1.1.2 - Esse filtro captura o tráfego que contém 10.1.1.1 ou 10.1.1.2 como origem ou destino.

    Executar investigação de rede adicional

    Os métodos descritos abaixo só podem ser utilizados a partir do CLI.

    TCPSERVICES

    O comando tcpservices exibe informações de TCP/IP para os processos atuais do recurso e do sistema.

    example.com> tcpservices

System Processes (Note: All processes can not always be present)
  ftpd.main    - The FTP daemon
  ginetd       - The INET daemon
  interface    - The interface controller for inter-process communication
  ipfw         - The IP firewall
  slapd        - The Standalone LDAP daemon
  sntpd        - The SNTP daemon
  sshd         - The SSH daemon
  syslogd      - The system logging daemon
  winbindd     - The Samba Name Service Switch daemon

Feature Processes
  euq_webui    - GUI for ISQ
  gui          - GUI process
  hermes       - MGA mail server
  postgres     - Process for storing and querying quarantine data
  splunkd      - Processes for storing and querying Email Tracking data

COMMAND      USER         TYPE NODE   NAME
postgres     pgsql        IPv4 TCP    127.0.0.1:5432
interface    root         IPv4 TCP    127.0.0.1:53
ftpd.main    root         IPv4 TCP    10.0.202.7:21
gui          root         IPv4 TCP    10.0.202.7:80
gui          root         IPv4 TCP    10.0.202.7:443
ginetd       root         IPv4 TCP    10.0.202.7:22
java         root         IPv6 TCP    [::127.0.0.1]:18081
hermes       root         IPv4 TCP    10.0.202.7:25
hermes       root         IPv4 TCP    10.0.202.7:7025
api_serve    root         IPv4 TCP    10.0.202.7:6080
api_serve    root         IPv4 TCP    127.0.0.1:60001
api_serve    root         IPv4 TCP    10.0.202.7:6443
nginx        root         IPv4 TCP    *:4431
nginx        nobody       IPv4 TCP    *:4431
nginx        nobody       IPv4 TCP    *:4431
java         root         IPv4 TCP    127.0.0.1:9999

    NETSTAT

    Esse utilitário exibe conexões de rede para TCP (de entrada e de saída), tabelas de roteamento e um número de estatísticas de interface de rede e protocolo de rede.

    example.com> netstat

Choose the information you want to display:
1. List of active sockets.
2. State of network interfaces.
3. Contents of routing tables.
4. Size of the listen queues.
5. Packet traffic information.

Example of Option 1 (List of active sockets)

Active Internet connections (including servers)
Proto Recv-Q Send-Q Local Address          Foreign Address        (state)
tcp4       0      0 10.0.202.7.10275       10.0.201.4.6025        ESTABLISHED
tcp4       0      0 10.0.202.7.22          10.0.201.4.57759       ESTABLISHED
tcp4       0      0 10.0.202.7.10273       a96-17-177-18.deploy.static.akamaitechnologies.com.80  TIME_WAIT
tcp4       0      0 10.0.202.7.10260       10.0.201.5.443     ESTABLISHED
tcp4       0      0 10.0.202.7.10256       10.0.201.5.443     ESTABLISHED

Example of Option 2 (State of network interfaces)

Show the number of dropped packets? [N]> y

Name    Mtu Network       Address              Ipkts Ierrs Idrop     Ibytes    Opkts Oerrs     Obytes  Coll  Drop
Data 1    - 10.0.202.0    10.0.202.7        110624529     -     - 117062552515 122028093     - 30126949890     -     -

Example of Option 3 (Contents of routing tables)

Routing tables

Internet:
Destination        Gateway            Flags      Netif Expire
default            10.0.202.1         UGS         Data 1
10.0.202.0         link#2             U           Data 1
10.0.202.7         link#2             UHS         lo0
localhost.example. link#4             UH          lo0

Example of Option 4 (Size of the listen queues)

Current listen queue sizes (qlen/incqlen/maxqlen)
Proto Listen         Local Address
tcp4  0/0/50         localhost.exampl.9999
tcp4  0/0/50         10.0.202.7.7025
tcp4  0/0/50         10.0.202.7.25
tcp4  0/0/15         10.0.202.7.6443
tcp4  0/0/15         localhost.exampl.60001
tcp4  0/0/15         10.0.202.7.6080
tcp4  0/0/20         localhost.exampl.18081
tcp4  0/0/20         10.0.202.7.443
tcp4  0/0/20         10.0.202.7.80
tcp4  0/0/10         10.0.202.7.21
tcp4  0/0/10         10.0.202.7.22
tcp4  0/0/10         localhost.exampl.53
tcp4  0/0/208        localhost.exampl.5432

Example of Option 5 (Packet traffic information)

            input           nic1           output
   packets  errs idrops      bytes    packets  errs      bytes colls drops
        49     0     0       8116         55     0       7496     0     0

    REDE

    O subcomando network em diagnóstico fornece acesso a opções adicionais.

    Use este comando para limpar todos os caches relacionados à rede, mostrar o conteúdo do cache ARP, mostrar o conteúdo do cache NDP (se aplicável) e testar a conectividade SMTP remota usando SMTPPING.

    example.com> diagnostic


Choose the operation you want to perform:
- RAID - Disk Verify Utility.
- DISK_USAGE - Check Disk Usage.
- NETWORK - Network Utilities.
- REPORTING - Reporting Utilities.
- TRACKING - Tracking Utilities.
- RELOAD - Reset configuration to the initial manufacturer values.
- SERVICES - Service Utilities.
[]> network


Choose the operation you want to perform:
- FLUSH - Flush all network related caches.
- ARPSHOW - Show system ARP cache.
- NDPSHOW - Show system NDP cache.
- SMTPPING - Test a remote SMTP server.
- TCPDUMP - Dump ethernet packets.
[]>

    ETHERCONFIG

    O comando etherconfig permite que você visualize e configure as definições relacionadas a informações duplex e MAC para interfaces, VLANs, interfaces de loopback, tamanhos de MTU e aceitação ou rejeição de respostas ARP com um endereço multicast.

    example.com> etherconfig


Choose the operation you want to perform:
- MEDIA - View and edit ethernet media settings.
- VLAN - View and configure VLANs.
- LOOPBACK - View and configure Loopback.
- MTU - View and configure MTU.
- MULTICAST - Accept or reject ARP replies with a multicast address.
[]>

    TRACEROUTE

    Esse comando exibe a rota de rede para um host remoto.

    Use o comando traceroute6 se você tiver um endereço IPv6 configurado em pelo menos uma interface.

    example.com> traceroute google.com

Press Ctrl-C to stop.
traceroute to google.com (216.58.194.206), 64 hops max, 40 byte packets
1 68.232.129.2 (68.232.129.2) 0.902 ms
68.232.129.3 (68.232.129.3) 0.786 ms 0.605 ms
2 139.138.24.10 (139.138.24.10) 0.888 ms 0.926 ms 1.092 ms
3 68.232.128.2 (68.232.128.2) 1.116 ms 0.780 ms 0.737 ms
4 139.138.24.42 (139.138.24.42) 0.703 ms
208.90.63.209 (208.90.63.209) 1.413 ms
139.138.24.42 (139.138.24.42) 1.219 ms
5 svl-edge-25.inet.qwest.net (63.150.59.25) 1.436 ms 1.223 ms 1.177 ms
6 snj-edge-04.inet.qwest.net (67.14.34.82) 1.838 ms 2.086 ms 1.740 ms
7 108.170.242.225 (108.170.242.225) 1.986 ms 1.992 ms
108.170.243.1 (108.170.243.1) 2.852 ms
8 108.170.242.225 (108.170.242.225) 2.097 ms
108.170.243.1 (108.170.243.1) 2.967 ms 2.812 ms
9 108.170.237.105 (108.170.237.105) 1.974 ms
sfo03s01-in-f14.1e100.net (216.58.194.206) 2.042 ms 1.882 ms

    PING

    O ping permite que você teste a acessibilidade de um host usando o endereço IP ou o nome do host e fornece estatísticas relacionadas à possível latência e quedas na comunicação.

    example.com> ping google.com

Press Ctrl-C to stop.
PING google.com (216.58.194.206): 56 data bytes
64 bytes from 216.58.194.206: icmp_seq=0 ttl=56 time=2.095 ms
64 bytes from 216.58.194.206: icmp_seq=1 ttl=56 time=1.824 ms
64 bytes from 216.58.194.206: icmp_seq=2 ttl=56 time=2.005 ms
64 bytes from 216.58.194.206: icmp_seq=3 ttl=56 time=1.939 ms
64 bytes from 216.58.194.206: icmp_seq=4 ttl=56 time=1.868 ms
64 bytes from 216.58.194.206: icmp_seq=5 ttl=56 time=1.963 ms

--- google.com ping statistics ---
6 packets transmitted, 6 packets received, 0.0% packet loss
round-trip min/avg/max/stddev = 1.824/1.949/2.095/0.088 ms

    Histórico de revisões

    Revisão Data de publicação Comentários
    2.0
    22-Feb-2026
    Processo e sintaxe de atualização.
    1.0
    11-Jun-2014
    Versão inicial
    TAC Authored

    Colaborado por engenheiros da Cisco

    • Dennis McCabe Jr
      Líder técnico da Cisco
    • Robert Sherwin
      Líder técnico da Cisco
    • Vibhor Amrodia
      Líder técnico da Cisco

    Este documento lhe foi útil?

    FeedbackFeedback

    Contate a Cisco

    Este documento se refere a estes produtos