如何在 PA-5450 的日志记录接口(bond1) 上执行 tcpdump

PA-5450

要在日志接口（bond1）上进行tcpdump ，您必须在tcpdump命令中定义该接口。

PA-5450 上可用的tcpdump参数：

> tcpdump
+ filter      tcpdump filters - e.g. "src net 67.207.148.0/24 and not port 22"
+ interface   Select interface to dump
+ snaplen     Snarf snaplen bytes of data from each packet. (0 means use the required length to catch whole packets)
  <Enter>     Finish input

完整命令示例：

> tcpdump interface bond1 filter "port 514"

Press Ctrl-C to stop capturing

重要提示：自 2024 年 7 月 2 日起，PA-5450s 上的 tcpdump 命令不支持使用超过 2 个参数。如果使用 3 个参数，您将收到以下错误“不支持的参数数量” ：

> tcpdump snaplen 0 interface bond1 filter "port 80"
Press Ctrl-C to stop capturing

Unsupported number of arguments

tcpdump 保存到防火墙上的pcap文件中。将pcap文件上传到 SFDC 案例的一个选项是使用scp export

scp export mgmt-pcap from mgmt.pcap to xxxxxxxx@tacupload.paloaltonetworks.com:./

• xxxxxxxx 为案件编号，包括前导零。示例：00654321@tacupload.paloaltonetworks.com:./

• 出现提示时，密码将是打开案件的电子邮件地址。

• PA-5450 MPC 卡硬件参考
• 如何在管理接口上进行数据包捕获（tcpdump）
• 您可以在CLI 命令show 接口 management下查看有关 bond1 日志接口的信息。