{"id":161465,"date":"2024-09-03T10:34:50","date_gmt":"2024-09-03T09:34:50","guid":{"rendered":"https:\/\/www.avanet.com\/kb\/sophos-firewall-tcpdump-tool-collecter-les-logs\/"},"modified":"2024-09-03T12:53:04","modified_gmt":"2024-09-03T11:53:04","slug":"sophos-firewall-tcpdump-tool-collecter-les-logs","status":"publish","type":"kb","link":"https:\/\/www.avanet.com\/fr\/kb\/sophos-firewall-tcpdump-tool-collecter-les-logs\/","title":{"rendered":"Sophos Firewall &#8211; collecte des journaux avec TCPDump pour analyse"},"content":{"rendered":"\n<p><strong>TCPDump<\/strong> est un puissant outil d&rsquo;analyse de paquets r\u00e9seau utilis\u00e9 pour enregistrer et analyser le trafic passant par une interface r\u00e9seau.\nIl offre la possibilit\u00e9 de filtrer des paquets sp\u00e9cifiques et de les stocker dans un emplacement externe.\nCeci est particuli\u00e8rement utile lorsque des analyses plus approfondies sont n\u00e9cessaires ou lorsque vous devez transmettre des donn\u00e9es au support technique Sophos pour le d\u00e9pannage.  <\/p>\n\n<div class=\"wp-block-rank-math-toc-block\" id=\"rank-math-toc\"><h2>Th\u00e8mes<\/h2><nav><ul><li class=\"\"><a href=\"#anwendung-von-tcp-dump-auf-der-sophos-firewall\">Application de TCPDump sur Sophos Firewall<\/a><ul><li class=\"\"><a href=\"#beispielanwendung-logs-sammeln-fur-3-cx-pbx\">Exemple d&rsquo;application : Collecter les logs pour 3CX PBX<\/a><\/li><li class=\"\"><a href=\"#befehl-zur-aufzeichnung\">Commande d&rsquo;enregistrement<\/a><\/li><\/ul><\/li><li class=\"\"><a href=\"#nutzliche-tcpdump-parameter-und-beispiele\"><a href=\"#nutzliche-tcpdump-parameter-und-beispiele\">Param\u00e8tres et exemples tcpdump utiles<\/a><\/a><ul><li class=\"\"><a href=\"#paketausgabe-auf-50-begrenzen\"><a href=\"#paketausgabe-auf-50-begrenzen\">Limiter l&rsquo;\u00e9mission de paquets \u00e0 50<\/a><\/a><\/li><li class=\"\"><a href=\"#auf-netzwerk-interface-eingrenzen\"><a href=\"#auf-netzwerk-interface-eingrenzen\">limiter \u00e0 l&rsquo;interface r\u00e9seau<\/a><\/a><\/li><li class=\"\"><a href=\"#ausgabe-in-eine-datei-schreiben-im-pcap-format\"><a href=\"#ausgabe-in-eine-datei-schreiben-im-pcap-format\">\u00c9crire la sortie dans un fichier au format pcap<\/a><\/a><\/li><li class=\"\"><a href=\"#ausgabe-aller-einer-bestimmten-ip\"><a href=\"#ausgabe-aller-einer-bestimmten-ip\">Sortie de toutes les IP sp\u00e9cifiques<\/a><\/a><\/li><li class=\"\"><a href=\"#pakete-zwischen-zwei-hosts-ausgeben\"><a href=\"#pakete-zwischen-zwei-hosts-ausgeben\">Distribuer des paquets entre deux h\u00f4tes<\/a><\/a><\/li><li class=\"\"><a href=\"#stoppen-des-laufenden-jobs\">Arr\u00eater le travail en cours<\/a><\/li><\/ul><\/li><li class=\"\"><a href=\"#analyse-der-logs\">Analyse des logs<\/a><\/li><li class=\"\"><a href=\"#zusammenfassung\">R\u00e9sum\u00e9<\/a><\/li><\/ul><\/nav><\/div>\n\n<h2 class=\"wp-block-heading\" id=\"anwendung-von-tcp-dump-auf-der-sophos-firewall\">Application de TCPDump sur Sophos Firewall<\/h2>\n\n<p>Pour utiliser <strong>TCPDump<\/strong> sur Sophos Firewall, vous devez d&rsquo;abord vous connecter au pare-feu via SSH, puis utiliser des commandes sp\u00e9cifiques pour capturer et enregistrer le trafic souhait\u00e9.<\/p>\n\n<h3 class=\"wp-block-heading\" id=\"beispielanwendung-logs-sammeln-fur-3-cx-pbx\"><strong>Exemple d&rsquo;application : Collecter les logs pour 3CX PBX<\/strong><\/h3>\n\n<p>Imaginons que l&rsquo;on souhaite enregistrer le trafic VoIP d&rsquo;un PBX 3CX (avec l&rsquo;adresse IP 192.168.100.220) afin de diagnostiquer les probl\u00e8mes li\u00e9s au trafic r\u00e9seau.<\/p>\n\n<h3 class=\"wp-block-heading\" id=\"befehl-zur-aufzeichnung\">Commande d&rsquo;enregistrement<\/h3>\n\n<pre class=\"wp-block-code\"><code>tcpdump -i any -nn host 192.168.100.220 -w \/tmp\/voip.pcap &amp;<\/code><\/pre>\n\n<p>Les param\u00e8tres individuels ont l&rsquo;utilit\u00e9 suivante :<\/p>\n\n<ul class=\"wp-block-list\">\n<li><strong>-i any<\/strong>: ce param\u00e8tre assure la collecte de tout le trafic passant par toutes les interfaces disponibles.<\/li>\n\n\n\n<li><strong>-nn<\/strong>: Ce param\u00e8tre d\u00e9sactive la r\u00e9solution de nom pour les noms d&rsquo;h\u00f4tes et les ports afin d&rsquo;acc\u00e9l\u00e9rer et de simplifier la sortie.<\/li>\n\n\n\n<li><strong>host 192.168.100.220<\/strong>: Le trafic en provenance et \u00e0 destination de l&rsquo;adresse IP sp\u00e9cifique est filtr\u00e9 ici.<\/li>\n\n\n\n<li><strong>-w \/tmp\/voip.pcap<\/strong>: ce param\u00e8tre indique que les paquets enregistr\u00e9s doivent \u00eatre \u00e9crits dans un fichier appel\u00e9 voip.pcap dans le r\u00e9pertoire \/tmp.<\/li>\n\n\n\n<li><strong>&amp; :<\/strong> Cela permet d&rsquo;ex\u00e9cuter la commande en arri\u00e8re-plan, de sorte que vous puissiez toujours acc\u00e9der \u00e0 la ligne de commande.<\/li>\n<\/ul>\n\n<h2 class=\"wp-block-heading\" id=\"nutzliche-tcpdump-parameter-und-beispiele\">Param\u00e8tres et exemples tcpdump utiles<\/h2>\n\n<h3 class=\"wp-block-heading\" id=\"paketausgabe-auf-50-begrenzen\">Limiter l&rsquo;\u00e9mission de paquets \u00e0 50<\/h3>\n\n<pre class=\"wp-block-code\"><code>tcpdump -c 50<\/code><\/pre>\n\n<h3 class=\"wp-block-heading\" id=\"auf-netzwerk-interface-eingrenzen\">limiter \u00e0 l&rsquo;interface r\u00e9seau<\/h3>\n\n<pre class=\"wp-block-code\"><code>sudo tcpdump -i eth1<\/code><\/pre>\n\n<h3 class=\"wp-block-heading\" id=\"ausgabe-in-eine-datei-schreiben-im-pcap-format\">\u00c9crire la sortie dans un fichier au format pcap<\/h3>\n\n<pre class=\"wp-block-code\"><code>sudo tcpdump -i wlan0 -p -w \/tmp\/tcpdump.pcap<\/code><\/pre>\n\n<h3 class=\"wp-block-heading\" id=\"ausgabe-aller-einer-bestimmten-ip\">Sortie de toutes les IP sp\u00e9cifiques<\/h3>\n\n<pre class=\"wp-block-code\"><code>tcpdump host 51.154.9.190<\/code><\/pre>\n\n<h3 class=\"wp-block-heading\" id=\"pakete-zwischen-zwei-hosts-ausgeben\">Distribuer des paquets entre deux h\u00f4tes<\/h3>\n\n<pre class=\"wp-block-code\"><code>tcpdump icmp and host 10.32.42.2 and host 192.168.20.23<\/code><\/pre>\n\n<h3 class=\"wp-block-heading\" id=\"stoppen-des-laufenden-jobs\">Arr\u00eater le travail en cours<\/h3>\n\n<p>Pour arr\u00eater le processus TCPDump en cours, utilisez les commandes suivantes.\nCeci est important, car sinon le pare-feu collectera tellement de logs que la m\u00e9moire sera pleine. <\/p>\n\n<p><strong>Afficher les emplois actifs :<\/strong><\/p>\n\n<pre class=\"wp-block-code\"><code>jobs<\/code><\/pre>\n\n<p><strong>Terminer les emplois<\/strong><\/p>\n\n<pre class=\"wp-block-code\"><code>kill %1\nkill %2\n...<\/code><\/pre>\n\n<p>ou<\/p>\n\n<pre class=\"wp-block-code\"><code>killall tcpdump<\/code><\/pre>\n\n<p>En fonction du nombre de processus en cours d&rsquo;ex\u00e9cution, vous pouvez ex\u00e9cuter plusieurs commandes kill pour vous assurer que tous les processus TCPDump concern\u00e9s sont termin\u00e9s.<\/p>\n\n<h2 class=\"wp-block-heading\" id=\"analyse-der-logs\">Analyse des logs<\/h2>\n\n<p>Une fois les logs collect\u00e9s, ils peuvent \u00eatre t\u00e9l\u00e9charg\u00e9s sur un ordinateur local avec, par ex : WinSCP ou Cyberduck et \u00eatre analys\u00e9s avec un outil comme Wireshark.\nAlternativement, les logs peuvent \u00eatre envoy\u00e9s au support technique Sophos pour obtenir de l&rsquo;aide pour l&rsquo;analyse et le d\u00e9pannage. <\/p>\n\n<h2 class=\"wp-block-heading\" id=\"zusammenfassung\">R\u00e9sum\u00e9<\/h2>\n\n<p><strong>TCPDump<\/strong> est un outil essentiel pour analyser en d\u00e9tail le trafic r\u00e9seau sur Sophos Firewall.\nIl permet de collecter des donn\u00e9es de log sp\u00e9cifiques qui peuvent \u00eatre utilis\u00e9es pour une analyse plus approfondie ou pour aider le support technique.\nEn utilisant les commandes d\u00e9crites ci-dessus, TCPDump peut \u00eatre utilis\u00e9 de mani\u00e8re efficace et cibl\u00e9e.  <\/p>\n","protected":false},"author":1,"featured_media":0,"parent":0,"template":"","format":"standard","kb_kategorie":[407],"class_list":["post-161465","kb","type-kb","status-publish","format-standard","hentry","kb_kategorie-sophos-firewall"],"blocksy_meta":[],"acf":[],"_links":{"self":[{"href":"https:\/\/www.avanet.com\/fr\/wp-json\/wp\/v2\/kb\/161465","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.avanet.com\/fr\/wp-json\/wp\/v2\/kb"}],"about":[{"href":"https:\/\/www.avanet.com\/fr\/wp-json\/wp\/v2\/types\/kb"}],"author":[{"embeddable":true,"href":"https:\/\/www.avanet.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"wp:attachment":[{"href":"https:\/\/www.avanet.com\/fr\/wp-json\/wp\/v2\/media?parent=161465"}],"wp:term":[{"taxonomy":"kb_kategorie","embeddable":true,"href":"https:\/\/www.avanet.com\/fr\/wp-json\/wp\/v2\/kb_kategorie?post=161465"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}