Packet Capture 、Debug Flow-basic および Counter コマンド

Printer Friendly Page

※この記事は以下の記事の日本語訳です。
Packet Capture, Debug Flow-basic and Counter Commands
https://live.paloaltonetworks.com/t5/Management-Articles/Packet-Capture-Debug-Flow-basic-and-Counter...

 

始める前に:

 

  • 下記コマンドを使用して設定されているフィルタを確認します。必要であれば、後で復旧できるように、フィルタをメモしておきます。
> debug dataplane packet-diag show setting
  • すべての Packet Capture 設定をクリアします:
> debug dataplane packet-diag clear all 
  • debug ログをクリアします:
debug dataplane packet-diag clear log log

• 以前にマークされたすべてのセッションをクリアします:

> debug dataplane packet-diag clear filter-marked-session all 

• オフロードされるセッションのすべてのパケットをキャプチャするために、オフロードを一時的に無効にする必要がある場合もあります。

重要!
オフロードを無効にする前に次のドキュメントを見直してください:
Disabling Session Offload to Record Traffic During

 

Packet Capture 従来の PCAP:

  • キャプチャするトラフィックの種類を制御するためにフィルタを設定します:
> debug dataplane packet-diag set filter match <条件>  
> debug dataplane packet-diag set filter on

• Packet Capture を有効にします:

> debug dataplane packet-diag set capture stage receive file rx.pcap 
> debug dataplane packet-diag set capture stage transmit file tx.pcap
> debug dataplane packet-diag set capture stage drop file dp.pcap
> debug dataplane packet-diag set capture stage firewall file fw.pcap
> debug dataplane packet-diag set capture on
  • Packet Capture を参照します:
> view-pcap filter-pcap rx.pcap

 

• PCAP 形式で Packet Capture をエクスポートします (SCP または TFTP):

> scp export filter-pcap from fw.pcap to username@host:path 
> tftp export filter-pcap from fw.pcap to <TFTP ホスト>

 

• PCAP ファイルを削除します:

> delete debug-filter file <ファイル名>

Application Dump PCAP:

• 該当アプリケーションの Application Dump を有効にします:

> set application dump on application bittorent <他の条件>  
  • Packet Capture を参照します:
> view-pcap application-pcap fw.pcap (もしくは、GUI の Monitor タブを使用) 

PCAP 形式で Packet Capture をエクスポートします (SCP または TFTP):

> scp export application-pcap from fw.pcap to username@host:path
> tftp export application-pcap from fw.pcap to <TFTP ホスト>

Debug PCAP (IKE、DHCP、RPD)

  • Packet Capture のデバッグを有効にします:
> debug ike pcap on debug dhcp pcap on (など...) 
  • Packet Capture を参照します:
> view-pcap debug-pcap fw.pcap 
  • PCAP 形式で Packet Capture をエクスポートします (SCP または TFTP):
> scp export debug-pcap from fw.pcap to username@host:path 
> tftp export debug-pcap from fw.pcap to <TFTP ホスト>

 

Debug Flow Basic

重要: この操作は CPU 使用率を上げるので、常にフィルタを使用してください。

• フィルタを設定し、ログされるトラフィックの種類を制御します:

> debug dataplane packet-diag set filter match <条件>
> debug dataplane packet-diag set filter on
  • debug ロギングを有効にします:
> debug dataplane packet-diag set log feature flow basic 
> debug dataplane packet-diag set log on
  • トラフィックをキャプチャし、その後直ちにロギングを無効にします:
> debug dataplane packet-diag set log off 
  • debug ログ を参照します:
> debug dataplane packet-diag aggregate-logs (PAN-OS 5.0 以降のみ、ログ無効後 10-15 秒待ちます) 
> less dp-log pan_packet_diag.log

 

注: PA-5000 シリーズについては、dp-log の代わりに dp0-log、dp1-log または dp2-log を使用。PA-200 については、mp-log を使用。

 

Drop カウンタの表示:

• フィルタを設定し、カウントされるトラフィックの種類を制御します:

> debug dataplane packet-diag set filter on 
> debug dataplane packet-diag set filter match <条件>
  • Drop カウンタを表示します (絶対値もしくは最後のコマンド実行からの相対値):
> show counter global filter packet-filter yes | match drop 
> show counter global filter severity drop packet-filter yes delta yes

著者: vcappuccio