如何捕获通信量 (PCAP) 命中特定规则

详细

为特定规则启用数据包捕获:

• 登录到 CLI 并运行以下命令:

>> 在规则 allow_all 上设置应用程序转储

应用程序设置:

应用程序缓存: 是

超级节点: 是的

启发式: 是

缓存阈值:16

超出队列限制时跳过: 是

未知捕获: on

最大值。未知会话: 5000

当前未知会话: 0

应用程序捕获: on

最大值。报名会议: 5000

当前应用程序会话: 0

应用程序筛选器设置:

    来自: 任何

    到: 任何

    来源: 任何

    目的地: 一个

    协议: 任何

    源端口: 任何

    Dest。端口: 任何

    应用: 任何

当前 APPID 签名

  Signagure 使用量:29 MB (最大值。32 MB)

      TCP 1 C2S: 10551 个状态

      TCP 1 S2C: 4880 个状态

      TCP 2 C2S: 14988 个状态

      TCP 2 S2C: 6142 个状态

      UDP 1 C2S: 6514 个状态

      UDP 1 S2C: 2774 个状态

      UDP 2 C2S: 9782 个状态

      UDP 2 S2C: 2036 个状态

• 默认情况下, 防火墙还捕获被视为 "未知" 或 "数据不足" 的通信量。关闭此捕获

    >> 设置应用程序转储-未知 no

• 去 WebGUI 的交通日志
• 单击通信日志旁边的绿色箭头以下载 PCAP, 如示例所示:

• 检索 PCAPs 后打开应用程序转储

>> 设置应用程序转储关闭

所有者： ppatel