show capture
オプションを指定しないでキャプチャの設定を表示するには、show capture コマンドを使用します。
show capture [ capture_name] [ access-list access_list_name] [ count number] [ decode] [ detail] [ dump] [ packet-number number] [ trace]
構文の説明
access-list access_list_name |
(任意)特定のアクセス リスト ID の IP フィールドまたはより高位のフィールドに基づいて、パケットに関する情報を表示します。 |
capture_name |
(オプション)パケット キャプチャの名前を指定します。 |
count number |
(任意)指定されたデータのパケット数を表示します。有効な値は 0 ~ 4294967295 です。 |
decode |
このオプションは、isakmp タイプのキャプチャがインターフェイスに適用されている場合に役立ちます。当該のインターフェイスを通過する ISAKMP データは、復号化の後にすべてキャプチャされ、フィールドをデコードした後にその他の情報とともに表示されます。 |
detail |
(任意)各パケットについて、プロトコル情報を追加表示します。 |
dump |
(オプション)データ リンク経由で転送されたパケットの 16 進ダンプを表示します。 |
packet-number number |
(任意)指定したパケット番号から表示を開始します。有効な値は 0 ~ 4294967295 です。 |
trace |
(任意)前述のように trace キーワードを使用してキャプチャが設定されている場合に使用される、各パケットの拡張トレース情報を表示します。また、インバウンド方向の各パケットのパケットトレーサの出力が表示されます。 |
コマンド履歴
リリース |
変更内容 |
---|---|
6.1 |
このコマンドが導入されました。 |
使用上のガイドライン
キャプチャ名を指定した場合は、そのキャプチャのキャプチャバッファの内容が表示されます。
dump キーワードを指定しても、MAC 情報は 16 進ダンプに表示されません。
パケットのデコード出力は、パケットのプロトコルによって異なります。次の表の角カッコに囲まれている出力は、detail キーワードを指定した場合に表示されます。
パケット タイプ |
キャプチャの出力形式 |
---|---|
802.1Q |
HH:MM:SS.ms [ether-hdr] VLAN-info encap-ether-packet |
『ARP』 |
HH:MM:SS.ms [ether-hdr] arp-type arp-info |
IP/ICMP |
HH:MM:SS.ms [ether-hdr] ip-source > ip-destination: icmp: icmp-type icmp-code [checksum-failure] |
IP/UDP |
HH:MM:SS.ms [ether-hdr] src-addr.src-port dest-addr.dst-port: [checksum-info] udp payload-len |
IP/TCP |
HH:MM:SS.ms [ether-hdr] src-addr.src-port dest-addr.dst-port: tcp-flags [header-check] [checksum-info] sequence-number ack-number tcp-window urgent-info tcp-options |
IP/Other |
HH:MM:SS.ms [ether-hdr] src-addr dest-addr: ip-protocol ip-length |
Other |
HH:MM:SS.ms ether-hdr: hex-dump |
脅威に対する防御 デバイスが不正な形式の TCP ヘッダー付きのパケットを受信し、ASP ドロップの理由が invalid-tcp-hdr-length でそのパケットをドロップした場合、そのパケットを受信したインターフェイスでは show capture コマンドの出力にそれらのパケットは表示されません。
(注) |
ファイルサイズオプションを使用する場合:
|
例
次に、キャプチャのコンフィギュレーションを表示する例を示します。
> show capture
capture arp ethernet-type arp interface outside
capture http access-list http packet-length 74 interface inside
次に、ARP キャプチャによってキャプチャされたパケットを表示する例を示します。
> show capture arp
2 packets captured
19:12:23.478429 arp who-has 171.69.38.89 tell 171.69.38.10
19:12:26.784294 arp who-has 171.69.38.89 tell 171.69.38.10
2 packets shown
次に、クラスタリング環境の 1 つのユニットでキャプチャされたパケットを表示する例を示します。
> show capture
capture 1 cluster type raw-data interface primary interface cluster [Buffer Full - 524187 bytes]
capture 2 type raw-data interface cluster [Capturing - 232354 bytes]
次に、クラスタリング環境のすべてのユニットでキャプチャされたパケットを表示する例を示します。
> cluster exec show capture
mycapture (LOCAL):----------------------------------------------------------
capture 1 type raw-data interface primary [Buffer Full - 524187 bytes]
capture 2 type raw-data interface cluster [Capturing - 232354 bytes]
yourcapture:----------------------------------------------------------------
capture 1 type raw-data interface primary [Capturing - 191484 bytes]
capture 2 type raw-data interface cluster [Capturing - 532354 bytes]
次に、SGT とイーサネット タギングがインターフェイスでイネーブルになっている場合にキャプチャされたパケットの例を示します。
> show capture my-inside-capture
1: 11:34:42.931012 INLINE-TAG 36 10.0.101.22 > 11.0.101.100: icmp: echo request
2: 11:34:42.931470 INLINE-TAG 48 11.0.101.100 > 10.0.101.22: icmp: echo reply
3: 11:34:43.932553 INLINE-TAG 36 10.0.101.22 > 11.0.101.100: icmp: echo request
4: 11.34.43.933164 INLINE-TAG 48 11.0.101.100 > 10.0.101.22: icmp: echo reply
SGT とイーサネット タギングがインターフェイスでイネーブルの場合、インターフェイスは引き続きタグ付きパケットまたはタグなしパケットを受信できます。この例は、出力に INLINE-TAG 36 があるタグ付きパケット用です。同じインターフェイスがタグなしパケットを受信した場合も、出力は変わりません(つまり、「INLINE-TAG 36」エントリは出力に含まれません)。