Hoppa till innehållet
Avanet

Sophos Firewall - samla loggar med TCPDump för analys

Sophos Firewall

TCPDump är ett kraftfullt verktyg för nätverkspaketanalys som används för att spela in och analysera trafik över ett nätverksgränssnitt. Det gör det möjligt att filtrera specifika paket och spara dem på en extern plats. Det är särskilt användbart när djupare analyser krävs eller när data behöver skickas vidare till Sophos Support för felsökning.

Använda TCPDump på Sophos Firewall

För att använda TCPDump på Sophos Firewall ansluter du först via SSH till firewallen och använder sedan specifika kommandon för att fånga och spara önskad trafik.

Exempel: samla loggar för 3CX PBX

Anta att VoIP-trafiken från en 3CX PBX-anläggning med IP-adressen 192.168.100.220 ska spelas in för att diagnostisera nätverkstrafikproblem.

Kommando för inspelning

tcpdump -i any -nn host 192.168.100.220 -w /tmp/voip.pcap &

De enskilda parametrarna används så här:

  • -i any: Fångar all trafik som går över alla tillgängliga gränssnitt.
  • -nn: Inaktiverar namnuppslagning för hostnamn och portar, vilket gör utskriften snabbare och enklare.
  • host 192.168.100.220: Filtrerar trafik till och från den specifika IP-adressen.
  • -w /tmp/voip.pcap: Sparar de inspelade paketen i filen voip.pcap i katalogen /tmp.
  • &: Kör kommandot i bakgrunden så att du kan fortsätta använda kommandoraden.

Användbara tcpdump-parametrar och exempel

Begränsa paketutskriften till 50

tcpdump -c 50

Begränsa till ett nätverksgränssnitt

sudo tcpdump -i eth1

Skriva utdata till en fil i pcap-format

sudo tcpdump -i wlan0 -p -w /tmp/tcpdump.pcap

Visa all trafik för en viss IP

tcpdump host 51.154.9.190

Visa paket mellan två hosts

tcpdump icmp and host 10.32.42.2 and host 192.168.20.23

Stoppa ett pågående jobb

För att stoppa en pågående TCPDump-process använder du följande kommandon. Det är viktigt, eftersom firewallen annars kan samla så mycket loggar att lagringen blir full.

Visa aktiva jobb:

jobs

Avsluta jobb

kill %1
kill %2
...

eller

killall tcpdump

Beroende på antalet pågående processer kan du behöva köra flera kill-kommandon för att säkerställa att alla relevanta TCPDump-processer avslutas.

Analysera loggarna

När loggarna har samlats in kan de laddas ner till en lokal dator, till exempel med WinSCP eller Cyberduck, och analyseras med ett verktyg som Wireshark. Alternativt kan loggarna skickas vidare till Sophos Support för hjälp med analys och felsökning.

Sammanfattning

TCPDump är ett viktigt verktyg för detaljerad analys av nätverkstrafik på Sophos Firewall. Det gör det möjligt att samla specifika loggdata för djupare analyser eller för supportärenden. Med kommandona ovan kan TCPDump användas effektivt och målinriktat.