概述
本文档介绍如何通过分析会话的数据包来验证作为未知 tcp/udp 启动的应用程序 ID, 并最终确定。
详细
从数据包诊断日志中, 应用程序最初被标识为应用程序 id 1017 (未知 tcp), 在前面的日志消息中, 它已经将实际的应用程序 id 标识为应用程序 id 184 (Skype)。
10月22日 15:01:30 pan_ctd_flow_state_verify (pan_ctd: 4318):p an_ctd_process_token (工作 0x7f0009d06100,应用程序 1017): 172.24.70.204 [51305]-> 172.17.146.45 [26111]
10月22日 15:01:30 pan_ctd_handle_reset (pan_ctd: 6018): 手柄复位
10月22日 15:01:30 pan_ctd_handle_reset (pan_ctd: 6029): **setapp 到 184 (旧应用程序 1017)
10月22日 15:01:30 pan_ctd_handle_reset (pan_ctd: 6032): orig_app 1017
10月22日 15:01:30 pan_appid_set_timeout (pan_appid_proc: 334): 会话 386 appid 184 设置超时3600
10月22日 15:01:30 pan_cfg_app_policy_lookup (pan_cfg_policy: 630): 查找前: 172.24.70.204 [51305]->> 172.17.146.45 [26111] 应用程序184使用应用程序 184;查找0应用程序 fst 1 url fst 1 默认为 0 rulename (allow-vwire-1A)
10月22日 15:01:30 pan_ctd_app_policy_lookup_i (pan_ctd: 4816): 会话 id (386): 规则从 allow-vwire-1A 操作更改为 allow-vwire-1A (0);伐木 (2);资料编号 (1) 类别任意 (0)
10月22日 15:01:30 pan_ctd_run_detector_i (pan_ctd: 6413):p an_ctd_handle_reset_and_url () 返回0
10月22日 15:01:30 pan_detector_delete_all_fields (pan_detector: 1581): 删除 allfields
10月22日 15:01:30 pan_ctd_run_detector_i (pan_ctd: 6439): Appid 做 Appid 184, 缓解现在 n_tid 0 ret 0
10月22日 15:01:30 pan_ctd_run_detector_i (pan_ctd: 6584): 现在退出旁路
10月22日 15:01:30 pan_ctd_process_token (pan_ctd: 5570):p an_ctd_run_pattern_match () 失败-6
使用以下 CLI 命令从上面的日志中验证应用程序 ID 号:
调试设备-服务器转储 idmgr 类型共享应用程序 id<id></id>
此示例验证 id 1017 和 184:
>> 调试设备-服务器转储 idmgr 类型共享-应用程序 id 1017
未知-tcp
>> 调试设备-服务器转储 idmgr 类型共享-应用程序 id 184
Skype
请参见
基于数据包的疑难解答-配置数据包捕获和调试日志
业主: gcapuno