FortiGateでは2つの方法でパケットをキャプチャさせることができます。

① pcap ファイルで取得
② CLI上に Debugとして出力

です。

まずは ① の pcap ファイルで取得する方法を説明します。

1) pcapファイルで取得

GUIより システム>ネットワーク>パケットキャプチャ を選択します。
「Create New」を選択します。

FortiGate-pcap1


キャプチャを行う対象を選択します。

・インターフェース
  どのインターフェースで送受信するトラフィックを対象にするか選択

・保存する最大パケット数
  取得するパケット数を設定します
  最大 10000 パケットを取得できます

フィルタ、IPv6、IPパケット以外 など必要に応じて選択、設定します

FortiGate-pcap2

これで準備ができました

FortiGate-pcap3

「進行」の項目が ”停止中” になっています。
FortiGate-pcap8 を選択し、キャプチャを開始します。

FortiGate-pcap5

キャプチャを停止するには、FortiGate-pcap9 を選択します。
キャプチャしたファイルをダウンロードするには FortiGate-pcap10 を選択します。

FortiGate-pcap7 のように sniffer_xx のファイル名でダウンロードされます。

このファイルを Wireshark で開きキャプチャ内容を確認します。

注意点は、ASIC(NP)に学習されたトラフィックは CPUで処理をされません。
よってパケットキャプチャでそのトラフィックを取得できません。

厳密にキャプチャを行うには、該当される Firewall Policyで以下を実施します。
※対象のトラフィックは限定した方が良いです。

>config firewall policy 
>(policy) # edit XX
>(XX) # unset auto-asic-offload 
>end

”unset auto-asic-offload ” で ASIC処理を無効にできます。


2) CLIで取得
>diag sniffer packet "インターフェース" ”パケットフィルタ” ”出力表示内容” "パケット数"

で実行します。


こちらも同様にキャプチャを行うには、"unset auto-asic-offload ” で ASIC処理を無効にします。
Firewall Policy で以下を実施します。

>config firewall policy 
>(policy) # edit XX
>(XX) # unset auto-asic-offload 
>end

サンプル例)
>diagnose sniffer packet port1 none 4 10
>interfaces=[port1]
>filters=[none]
>0.430003 port1 -- 192.168.xxx.xxx.443 -> 192.168.yyy.yyy.50949: psh 2633708751 ack 3363786147 
>0.430284 port1 -- 192.168.xxx.xxx.443 -> 192.168.yyy.yyy.50952: psh 2664927865 ack 726892992 
>0.433340 port1 -- 192.168.yyy.yyy.50952 -> 192.168.xxx.xxx.443: psh 726892992 ack 2664928119 
>0.433434 port1 -- 192.168.xxx.xxx.443 -> 192.168.yyy.yyy.50952: ack 726893961 
>0.435162 port1 -- 192.168.xxx.xxx.443 -> 192.168.yyy.yyy.50952: psh 2664928119 ack 726893961 
>0.439111 port1 -- 192.168.yyy.yyy.50952 -> 192.168.xxx.xxx.443: psh 726893961 ack 2664928752 
>0.440867 port1 -- 192.168.xxx.xxx.443 -> 192.168.yyy.yyy.50952: psh 2664928752 ack 726894930 
>0.445227 port1 -- 192.168.yyy.yyy.50952 -> 192.168.xxx.xxx.443: psh 726894930 ack 2664929183 
>0.447133 port1 -- 192.168.xxx.xxx.443 -> 192.168.yyy.yyy.50952: psh 2664929183 ack 726895899 
>0.450382 port1 -- 192.168.yyy.yyy.50952 -> 192.168.xxx.xxx.443: psh 726895899 ack 2664929614