マルチブレード・トラフィック・キャプチャ(tcpdump)

説明

Gaia gClish閉じた Check Point Quantum Maestro Orchestrator に接続されているセキュリティアプライアンス用の Check Point Gaia オペレーティングシステムのグローバルコマンドラインシェルの名前。このシェルで実行するコマンドは、セキュリティグループ内のすべてのセキュリティアプライアンスに適用されます。のこれらの"tcpdump"コマンドを使用すると、セキュリティグループ閉じた アクティブ/アクティブクラスタ機能を提供するセキュリティアプライアンスの論理グループ。セキュリティグループには 1 つ以上のセキュリティアプライアンスを含めることができます。セキュリティグループは、互いに別々に独立して機能します。本番ネットワークには、セキュリティグループが1つのセキュリティゲートウェイとして表示されます。すべてのセキュリティグループには以下が含まれます。(A) 本番ネットワークが接続されているアップリンクポート、(B) セキュリティアプライアンス(ダウンリンクポートは Quantum Maestro Orchestrator が自動的に決定)、(C) Check Point Management Server が接続されている管理用ポート。内のセキュリティグループメンバによって送受信されるトラフィックをキャプチャして表示できます。

これらのコマンドは、標準のtcpdump ユーティリティを拡張したものです。

コマンド

説明

tcpdump -mcap

指定したセキュリティグループメンバからのパケットをキャプチャファイルに保存します。

tcpdump -view

指定したキャプチャファイルのパケットを、セキュリティグループメンバIDを含めて表示します。

構文

tcpdump [-b <SGM IDs>] -mcap -w <Output File> [<tcpdump Options>]

tcpdump -view -r <Input File> [<tcpdump Options>]

注-キャプチャを停止し、キャプチャファイルにデータを保存するには、プロンプトでCTRL+C を押してください。

パラメータ

パラメータ

説明

-b <SGM IDs>

<SGM IDs>で指定されたセキュリティグループメンバに適用されます。

<SGM IDs>には:

  • <SGM IDs>が指定されていない、またはall

    すべてのセキュリティグループメンバとすべてのMaestroサイトに適用されます。

  • 1セキュリティグループメンバ(例:1_1)

  • カンマで区切られたセキュリティグループメンバのリスト(例: 1_1,1_4

  • セキュリティグループメンバの範囲(例: 1_1-1_4

  • Dual Siteの場合、1つのMaestro Site (chassis1, orchassis2)。

  • Dual Siteでは、Active Maestro Site(chassis_active)。

-w <Output File>

キャプチャしたパケットを指定されたパスに、指定された名前のファイルに保存します。

この出力ファイルには、指定されたすべてのセキュリティグループメンバからキャプチャされたパケットが含まれています。

同じディレクトリに、各セキュリティグループメンバの出力ファイルを追加で保存します。

これらの追加ファイルの名称は <SGM ID>_<Specified Name of Output File>

例:

  • 指定されたフルパスは

    /tmp/capture.cap

  • 追加されたキャプチャファイルは

    /tmp/1_1_capture.cap

    /tmp/1_2_capture.cap

    /tmp/1_3_capture.cap

    など

-r <Input File>

指定したパスからキャプチャしたパケット(tcpdump 形式)を、指定した名前のファイルから読み込みます。

<tcpdump Options>

標準的なtcpdump パラメータです。

tcpdump マニュアルページ -https://linux.die.net/man/8/tcpdump をご覧ください。

[Expert@HostName-ch0x-0x:0]# gclish

[Global] HostName-ch01-01 > tcpdump -mcap -w /tmp/capture.cap

Capturing packets...

Write "stop" and press enter to stop the packets capture process.

1_01:

tcpdump: listening on eth1-Mgmt4, link-type EN10MB (Ethernet), capture size 96 bytes

 

この出力に関する明確化。
このとき、管理者はCTRL+Cキーを押した

 

stop

Received user request to stop the packets capture process.

 

Copying captured packets from all SGMs...

Merging captured packets from SGMs to /tmp/capture.cap...

Done.

[Global] HostName-ch01-01>

[Expert@HostName-ch0x-0x:0]# gclish

[Global] HostName-ch01-01 > tcpdump -b 1_1,1_3,2_1 -mcap -w /tmp/capture.cap -nnni eth1-Mgmt4

... ...

[Global] HostName-ch01-01 >

[Expert@HostName-ch0x-0x:0]# gclish

[Global] HostName-ch01-01> tcpdump -view -r /tmp/capture.cap

Reading from file /tmp/capture.cap, link-type EN10MB (Ethernet)

[1_3] 14:11:57.971587 IP 0.0.0.0.cp-cluster > 172.16.6.0.cp-cluster: UDP, length 45

[2_3] 14:12:07.625171 IP 0.0.0.0.cp-cluster > 172.16.6.0.cp-cluster: UDP, length 45

[2_3] 14:12:09.974195 IP 0.0.0.0.cp-cluster > 172.16.6.0.cp-cluster: UDP, length 37

[2_1] 14:12:09.989745 IP 0.0.0.0.cp-cluster > 172.16.6.0.cp-cluster: UDP, length 45

[2_3] 14:12:10.022995 IP 0.0.0.0.cp-cluster > 172.23.9.0.cp-cluster: UDP, length 32

... ...

[Global] HostName-ch01-01>