Comment capturer le trafic (PCAP) frappant une règle spécifique
Resolution
Détails
Pour activer la capture de paquets pour une règle spécifique:
- Connectez-vous à la CLI et exécutez la commande suivante:
> Set application dump sur la règle allow_all
Paramètre d'application:
Cache d'Application: Oui
Supernoeud: Oui
Heuristique: Oui
Seuil de cache: 16
Bypass lorsque dépasse la limite de la file d'attente: Oui
Capture inconnue: on
Max. sessions inconnues: 5000
Sessions inconnues en cours: 0
Capture d'Application: on
Max. sessions d'application: 5000
Sessions d'application en cours: 0
Paramètre du filtre d'Application:
De: any
À: toute
Source: toute
Destination: a
Protocole: tout
Port source: tout
Dest. Port: tout
Application: toute
Signature AppID actuelle
Signagure utilisation: 29 Mo (max. 32 MB)
TCP 1 C2S: 10551 États
TCP 1 S2C: 4880 États
TCP 2 C2S: 14988 États
TCP 2 S2C: 6142 États
UDP 1 C2S: 6514 États
UDP 1 S2C: 2774 États
UDP 2 C2S: 9782 États
UDP 2 S2C: 2036 États
- Par défaut, le pare-feu capture également le trafic considéré comme «inconnu» ou «données insuffisantes». Pour désactiver cette capture
> Set application dump-inconnu non
- Accédez au Journal de trafic dans le WebGUI
- Cliquez sur la flèche verte à côté du journal de trafic pour télécharger le PCAP, comme indiqué dans L'exemple:
- Pour activer le vidage de l'application une fois que les PCAPs sont récupérés
> Set application dump OFF
propriétaire : ppatel