Comment capturer le trafic (PCAP) frappant une règle spécifique

Détails

Pour activer la capture de paquets pour une règle spécifique:

• Connectez-vous à la CLI et exécutez la commande suivante:

> Set application dump sur la règle allow_all

Paramètre d'application:

Cache d'Application: Oui

Supernoeud: Oui

Heuristique: Oui

Seuil de cache: 16

Bypass lorsque dépasse la limite de la file d'attente: Oui

Capture inconnue: on

Max. sessions inconnues: 5000

Sessions inconnues en cours: 0

Capture d'Application: on

Max. sessions d'application: 5000

Sessions d'application en cours: 0

Paramètre du filtre d'Application:

    De: any

    À: toute

    Source: toute

    Destination: a

    Protocole: tout

    Port source: tout

    Dest. Port: tout

    Application: toute

Signature AppID actuelle

  Signagure utilisation: 29 Mo (max. 32 MB)

      TCP 1 C2S: 10551 États

      TCP 1 S2C: 4880 États

      TCP 2 C2S: 14988 États

      TCP 2 S2C: 6142 États

      UDP 1 C2S: 6514 États

      UDP 1 S2C: 2774 États

      UDP 2 C2S: 9782 États

      UDP 2 S2C: 2036 États

• Par défaut, le pare-feu capture également le trafic considéré comme «inconnu» ou «données insuffisantes».  Pour désactiver cette capture

    > Set application dump-inconnu non

• Accédez au Journal de trafic dans le WebGUI
• Cliquez sur la flèche verte à côté du journal de trafic pour télécharger le PCAP, comme indiqué dans L'exemple:

• Pour activer le vidage de l'application une fois que les PCAPs sont récupérés

> Set application dump OFF

propriétaire : ppatel