在使用Fortigate防火牆的時候,有時候需要長時間的錄封包。但使用的是低階的設備(例如FG80C),它本身GUI沒有側錄的功能,該怎麼處理呢?
很簡單,搭配一些linux指令就能處理了。
要安裝的套件是screen。指令及操作方式如下:
先開啟screen:
screen
登入防火牆,並且將輸出畫面同時顯示在螢幕上及另存在192.168.1.2.log這個檔案中。
ssh -l admin 192.168.1.2 | tee 192.168.1.2.log
開始側錄:
diagnose sniffer packet any 'host 192.168.1.1 and icmp' 6 0
開始側錄後,離開screen。
ctrl + a 後,再按下 d 鍵(detach)
把錄好的檔案,轉成wireshark格式。fgt2eth.pl是原廠提供的檔案,網路上找一下就有。
./fgt2eth.pl -in 192.168.1.2.log -out ay.cap
需確認事項:
1、ping一下192.168.1.1,確認192.168.1.2.log會長大 (確認寫檔成功)
2、丟在背景執行,過很長的時間後再ping一下,看檔案有沒有改大,測試有沒有被踢掉 (確認timeout是否影響側錄)
測試完成要離開screen:
先找出它的工作環境:
screen -ls
再回去該工作環境:
screen -r 20451
再中止sniffer packet (ctrl+c),並離開防火牆即可。
沒有留言:
張貼留言