ビュー:

概要

Interscan Web Security Suite(以下、IWSS)およびInterScan Web Security Virtual Appliance(以下、IWSVA)においてWeb閲覧やサーバ間での通信異常等を特定するためには、デバッグログとパケットキャプチャを照合しての調査が必要になります。 取得いただいた情報を正確に確認するため、情報取得時は以下の作業タイムテーブルを記録ください。
  • 作業テーブルを記録いただけない場合、原因特定に至らない可能性があります。
  • 取得いただいたログサイズが肥大化している場合、調査に時間を要する可能性があります。業務時間外などのトラフィックの少ない時間帯でのパケット取得をお勧めします。

取得いただきたい情報

  • - クライアントIP 例:10.x.x.x)
  • - アクセスした時間 (例:11時25分25秒)
  • - アクセスしたURL (例:http://www.example.com)
  • - アクセス結果(例:30秒経過後に 503 エラー表示など)
  • - 事象発生時のブラウザの画面ショットを取得してください。
<例>
クライアントIP: 10.16.50.3
 10:00:00 verbose=1に設定後、HTTP検索のデーモン再起動
 10:01:00 パケットキャプチャ取得開始
 10:02:00 http://www.example.comへアクセス。
 10:02:30 30秒経過後に 503 エラー表示
 10:04:00 パケットキャプチャ取得停止
 10:05:00 HTTP検索デーモン停止

IWSS Linux版 / IWSVA サーバ側

パケットキャプチャの取得は、rootユーザでLinuxコンソールにログイン後、以下のコマンドを実行して取得します。パケットキャプチャの停止は、キーボードの[CTRL]+[C]を実行します。
以下の例ではパケットキャプチャファイルの出力先を/tmpにしています。必要に応じて適切な出力先を指定してください。

特定のネットワークインタフェースに対する通信を対象にする場合

例: eth0 のみを対象にする場合
    # tcpdump -s0 -i eth0 -w /tmp/tcpdump_eth0.pcap

例: eth0 と eth1 を対象にする場合
 # tcpdump -s0 -i eth0 -w /tmp/tcpdump_eth0.pcap
 # tcpdump -s0 -i eth1 -w /tmp/tcpdump_eth1.pcap
  
    ご注意:
    こちらの場合、2つLinuxコンソールをご用意いただき、上記2つのコマンドを別々に実行してください。

例: ローカルループバック(lo)を対象にする場合(127.0.0.1宛ての通信を対象にする場合)
 # tcpdump -s0 -i lo -w /tmp/tcpdump_lo.pcap

どのネットワークインタフェースを指定すべきか不明 or すべてのネットワークインタフェースを指定したい場合

-iオプションに"any"と指定して以下のように実行してください。

 # tcpdump -s0 -i any -w /tmp/tcpdump_any.pcap

クライアント端末側 / IWSS Windows版 サーバ側

Windows:パケットのキャプチャ方法をご参照いただき、Wireshark などを使用してパケットキャプチャの取得を開始します。

その他プロキシサーバ側(存在する場合)

多段プロキシ構成の場合は、すべてのサーバ上で『同時に』 パケットキャプチャの取得を開始し、同一アクセスに対するキャプチャを取得してください。
IWSS/IWSVAサーバ以外のプロキシサーバでのパケットキャプチャの取得方法に関しては、当該サーバの運用管理者様等にご相談ください。