Blog Agility

Como executar Packet Capture no Palo Alto

Como executar Packet Capture no Palo Alto

PAN-OS suporta captura de pacotes para solução de problemas ou detecção de aplicativos desconhecidos. Você pode definir filtros de tal forma que apenas os pacotes que combinam com os filtros são capturados. As capturas de pacotes são armazenados localmente no dispositivo e estão disponíveis para download para o seu computador local.

Siga os passos abaixo:A partir da CLI:

 

Packet Filter

1-      debug dataplane packet-diag set filter match source <IP>

2-      debug dataplane packet-diag set filter match destination <IP>

3-      debug dataplane packet-diag set filter on

4-      debug dataplane packet-diag show setting

 

Packet Capture

1-      debug dataplane packet-diag set capture stage drop file <filename>

2-      debug dataplane packet-diag set capture stage transmit file <filename>

3-      debug dataplane packet-diag set capture stage receive file <filename>

4-      debug dataplane packet-diag set capture stage firewall file <filename>

5-      debug dataplane packet-diag set capture on

 

Clear Packer Filter or capture

1-      debug dataplane packet-diag set filter off

2-      debug dataplane packet-diag set capture off

3-      debug dataplane packet-diag clear filter all

4-      debug dataplane packet-diag clear capture all

 

View PCAPs

1-      view-pcap follow yes filter-pcap <filename>

 

Export the PCAPs

1-      scp export filter-pcap from <file> to <SCP_serv>

2-      tftp export filter-pcap from <file> to <tftp_Server_addr>

 

A partir do WebUI

1-      Navegue até Monitor > Packet Capture.

2-      Criar e Ativar um Packet Filter.

2015_Mar_Ygor_Oliveira_Como_Executar_Packet_Capture_1

3-      Criar estágios que indique o ponto no qual vai capturar pacote e o nome do arquivo.

2015_Mar_Ygor_Oliveira_Como_Executar_Packet_Capture_2

drop – Quando o processamento de pacotes encontra um erro e que o pacote deve ser descartado.

firewall – Quando o pacote tem uma (combinação) de sessão ou um primeiro pacote, uma sessão for criada com sucesso.

receive – Quando o pacote é recebido no processador dataplane.

transmit – Quando o pacote está a ser transmitido no processador dataplane.

  • File – Especifique o nome do arquivo de captura. O nome do arquivo deve começar com uma letra e pode incluir letras, números, pontos, sublinhados ou hifens.
  • Packet Count – Especifique o número de pacotes após o qual captura paradas.
  • Byte Count – Especifique o número de bytes após o qual a captura de paradas.

 

4-      Ativar Captura

2015_Mar_Ygor_Oliveira_Como_Executar_Packet_Capture_3

5-      Baixe o arquivo (s) via HTTP, clicando em seu link depois atualizar a página de captura.

2015_Mar_Ygor_Oliveira_Como_Executar_Packet_Capture_4

 

Packet Capture é somente para solução de problemas. Esta característica pode fazer com que o desempenho do sistema venha a degradar. Por isso deve ser utilizado apenas quando necessário. Após a captura esteja completa, por favor, lembre-se de desativar o recurso.