FortiGateでは、パケットキャプチャを取得して、Wiresharkで表示させることが可能です。トラブルシューティングの際は非常に便利です。
FortiGateでパケットキャプチャを取得
パケットキャプチャの取得はCLIで実行します。
取得したい項目を選べたりしますが、今回は取得したパケットはWiresharkで確認することを前提とするため、すべての項目を取得していきます。
大量にパケットが流れてきて少し焦りますが、Ctrl+cで確実に止めることができるので、焦らないで大丈夫です。ただし、機器に負荷を与えますので、CPU、メモリに余裕があることを確認の上実行ください。
下記のコマンドが基本となります。
# diagnose sniffer packet [インタフェース名] ‘フィルタ’ [Verboseのレベル指定] [取得回数]
[Verboseのレベル指定]
<verbose>
1: ヘッダ部の取得
2: ヘッダ部とデータ部の取得
3: ヘッダ部とデータ部および、イーサフレーム部の取得
4: インタフェース名とヘッダ部の取得
5: インタフェース名とヘッダ部とデータ部の取得
6: インタフェース名とヘッダ部とデータ部および、イーサフレーム部の取得
こんな感じにしてしまうと、簡易的でわかりやすいです。
# diagnose sniffer packet wan1 none 6
インタフェース名:wan1
フィルタ:none(フィルタしない、Wiresharkでフィルタすればよいです)
Verboseのレベル指定:6
取得回数:なし(無制限とし、Ctrl+c で止めます。)
Wiresharkで読み込む際のデータ変換方法
上記のコマンドを入力すると、CLI上に排出されるので、Ctrl+cでパケットキャプチャの取得を止めてから、取得したデータをコピペして、テキストに保存します。
そのテキストデータをFortiGateが提供しているツールで「pcap」形式へ変換します。
の最下部の「fgt2eth.exe」をファイル保存します。
端末のコマンドプロンプトにて、下記のコマンドを実行します。
>fgt2eth.exe -in [パケットを貼り付けたテキスト] -out [出力するファイル名]
[出力するファイル名]の拡張子を「.pcap」にして出力します。
詳細サイト
さらに詳しい内容については下記サイトがわかりやすいです。
参考書籍
コメント