Afin de créer une capture, il faut mettre en place la configuration spécifique suivante, en mode configuration.
On définit en premier le nom du fichier de capture, son format, sa taille et le nombre de fichiers à capturer. L’option size permet de fixer la taille maximale d’un fichier de capture. Si la taille maximale est atteinte, un nouveau fichier de capture sera crée, avec le nom <MonFichierDeCapture x> où x s’incrémente jusqu’à ce qu’il atteigne la valeur spécifié à l’option files. Si aucune option files n’est indiquée, les paquets seront rejetés une fois que la taille size sera atteinte.
set security datapath-debug capture-file <MonFichierDeCapture> set security datapath-debug capture-file format pcap set security datapath-debug capture-file size 10m set security datapath-debug capture-file files 5 set security datapath-debug maximum-capture-size 1500
Activer un action profile afin de capturer les paquets entrants et sortants.
set security datapath-debug action-profile do-capture event np-egress packet-dump set security datapath-debug action-profile do-capture event np-ingress packet-dump
Créer un des filtres de capture. Attention à créer les filtres dans les deux sens de capture. Un filtre dans un sens ne va que capturer le trafic dans un sens, et non dans les deux.
set security datapath-debug packet-filter Filtre_01 action-profile do-capture set security datapath-debug packet-filter Filtre_01 source-prefix IP-SRV-SRC/32 set security datapath-debug packet-filter Filtre_02 action-profile do-capture set security datapath-debug packet-filter Filtre_02 destination-prefix IP-SRV-SRC/32 set security datapath-debug packet-filter Filtre_03 action-profile do-capture set security datapath-debug packet-filter Filtre_03 source-prefix IP-RP-VIP/32 set security datapath-debug packet-filter Filtre_04 action-profile do-capture set security datapath-debug packet-filter Filtre_04 destination-prefix IP-RP-VIP/32
Sauvegarde de la configuration
commit comment <Commentaire>
Une fois que la configuration a été appliquée, il faut sortir du mode de configuration pour démarrer la capture.
user@host> request security datapath-debug capture start
Une fois la capture réalisée, il faut l’arrêter comme suit.
user@host> request security datapath-debug capture stop
On peut visualiser la capture avec la commande suivante. La capture est en mode hexa, donc pas facilement lisible.
user@host> show security datapath-debug capture
Pour pouvoir lire la capture avec Wireshark et la récupérer sur un bastion, il faut se connecter au shell et passer ces commandes :
user@host>start shell % cd /var/log % e2einfo -Ccapture -Snormalize -I MonFichierDeCapture -F MonFichierDeCapture.pcap scp MonFichierDeCapture.pcap user@ip_bastion:/tmp/MonFichierDeCapture.pcap
Après la capture, il ne faut pas oublier de retirer la configuration de capture, en mode configuration
delete security datapath-debug