FortiGateでパケットキャプチャを取得する方法とWireshark読み込み方法

FortiGate

FortiGateでは、パケットキャプチャを取得して、Wiresharkで表示させることが可能です。トラブルシューティングの際は非常に便利です。

 

FortiGateでパケットキャプチャを取得

パケットキャプチャの取得はCLIで実行します。

取得したい項目を選べたりしますが、今回は取得したパケットはWiresharkで確認することを前提とするため、すべての項目を取得していきます。

 

大量にパケットが流れてきて少し焦りますが、Ctrl+cで確実に止めることができるので、焦らないで大丈夫です。ただし、機器に負荷を与えますので、CPU、メモリに余裕があることを確認の上実行ください。

 

下記のコマンドが基本となります。

# diagnose sniffer packet [インタフェース名] ‘フィルタ’ [Verboseのレベル指定] [取得回数]

 

[Verboseのレベル指定]

 <verbose>   
1: ヘッダ部の取得
2: ヘッダ部とデータ部の取得
3: ヘッダ部とデータ部および、イーサフレーム部の取得
4: インタフェース名とヘッダ部の取得
5: インタフェース名とヘッダ部とデータ部の取得
6: インタフェース名とヘッダ部とデータ部および、イーサフレーム部の取得

 

こんな感じにしてしまうと、簡易的でわかりやすいです。

# diagnose sniffer packet wan1 none 6

 

インタフェース名:wan1

フィルタ:none(フィルタしない、Wiresharkでフィルタすればよいです)

Verboseのレベル指定:6

取得回数:なし(無制限とし、Ctrl+c で止めます。)

 

Wiresharkで読み込む際のデータ変換方法

上記のコマンドを入力すると、CLI上に排出されるので、Ctrl+cでパケットキャプチャの取得を止めてから、取得したデータをコピペして、テキストに保存します。

 

そのテキストデータをFortiGateが提供しているツールで「pcap」形式へ変換します。

 

Fortinet Knowledge Base - View Document

の最下部の「fgt2eth.exe」をファイル保存します。

 

端末のコマンドプロンプトにて、下記のコマンドを実行します。

>fgt2eth.exe -in [パケットを貼り付けたテキスト] -out [出力するファイル名]

 

[出力するファイル名]の拡張子を「.pcap」にして出力します。

 

詳細サイト

さらに詳しい内容については下記サイトがわかりやすいです。

【3分で分かるFortinet】【第3回】FortiGateでパケットキャプチャ|技術ブログ|C&S ENGINEER VOICE
C&S Engineer Voiceは、技術者向けの最新技術情報発信ポータルサイトです。【3分で分かるFortinet】【第3回】FortiGateでパケットキャプチャです。

 

参考書籍

 

 

 

コメント

タイトルとURLをコピーしました