ビジネスサポートポータルアカウントでログイン
Deep Security Virtual Appliance でのパケット採取方法  

Deep Security Virtual Appliance でのパケット採取方法

    • 更新日:
    • 29 Jul 2019
    • 製品/バージョン:
    • Trend Micro Deep Security 10.0
    • Trend Micro Deep Security 9.5
    • Trend Micro Deep Security 9.6
    • OS:
    • Virtual Appliance すべて
概要
Deep Security Virtual Appliance (以下、DSVA) でパケットキャプチャを行う方法について教えてください。
詳細
Public

事前確認

パケットを採取する前に、まず管理用ポートがどのポートに割り当てられているかを確認します。DSVA のコンソール上で、[Management Address IPvx: (ethx)] の表示を確認し、ethx (xは0または1) の記述を控えておきます。

tcpdump のインストール手順 (DSVA 9.5 以降)

パケットキャプチャは tcpdump を使用して行いますが、DSVA 9.5 には初期状態で tcpdump がインストールされていません。そのため、以下手順で事前にインストールを行ってください。
  1. こちらから tcpdump 用のパッケージをダウンロードします。
  2. vSphere Client または SSH で DSVA の CLI にログインし、任意のディレクトリ (/home/dsva など) にパッケージファイルをコピーします。SSH/SCP を使用してログイン/コピーする場合は、事前に「sudo service sshd start」コマンドで SSH を有効にしてください。
  3. パッケージファイルを展開します。以下はコマンドおよび出力例です。
    # tar xzvf tcpdump_dsva9.5.tar.gz
    libpcap-1.4.0-1.20130826git2dbcaa1.el6.x86_64.rpm
    tcpdump-4.0.0-3.20090921gitdf3cb4.2.el6.x86_64.rpm
  4. 展開したパッケージをインストールします。以下はコマンドおよび出力例です。
    # rpm -ivh libpcap*.rpm tcpdump*.rpm
    warning: libpcap-1.4.0-1.20130826git2dbcaa1.el6.x86_64.rpm: Header V3 RSA/SHA1 Signature, key ID c105b9de: NOKEY
    Preparing... ########################################### [100%]
    1:libpcap ########################################### [ 50%]
    2:tcpdump ########################################### [100%]

採取手順

  1. vSphere Client で DSVA のコンソールを開き、[Alt]+[F2] を押すか、SSH 経由で DSVA の CLI にログインします (CLI コンソールから通常のDSVAのメニュー画面に戻るには、[Alt]+[F1] を押します)。
  2. 以下のコマンドを実行します。
    $ sudo tcpdump -i ethx -w ./tcpdump.pcap
  3. 事象再現後、[Ctrl]+[C] を押下しパケットキャプチャを終了します。

採取したキャプチャファイルを Windows コンピュータへ転送する手順

採取したパケットキャプチャを転送する方法として、ここでは Windows のファイル共有を使用する方法を紹介します。
  1. DSVA と通信可能な Windows コンピュータ上で任意のフォルダを共有しておきます。
  2. DSVA 上でマウントポイントとなるディレクトリを作成します。
    例: $ sudo mkdir https://esupport.trendmicro.com/media/share
  3. 以下のコマンドで Windows 共有フォルダをマウントします。
    $ sudo mount -t cifs -o username=<Windowsログインユーザ名>,password=<パスワード>,iocharset=utf8 //<WindowsコンピュータのIPアドレス>/<共有名> <手順2で作成したマウントポイント>

    例:
    $ sudo mount -t cifs -o username=administrator,password=password,iocharset=utf8 //192.168.0.1/share https://esupport.trendmicro.com/media/share

    注意: DSVAのコンソールは英語版101キーボードのみを認識できます。日本語キーボードを使用している場合、[=]は[^]キーを押して入力できます。
  4. 共有フォルダへファイルを移動します。
    例: $ sudo mv ./tcpdump.pcap https://esupport.trendmicro.com/media/share
  5. 移動が完了し、Windowsコンピュータ上から移動されたファイルを確認できたら、マウントを解除します。
    例: $ sudo umount https://esupport.trendmicro.com/media/share

ヒント

FTP サーバが用意されている場合、ftpputコマンドの利用も可能です。詳細はデバッグログ取得方法の製品 Q&A をご確認ください。

Premium
Internal
評価:
カテゴリ:
操作方法/設定
Solution Id:
1096953
ご提案/ご意見
このソリューションはお役に立ちましたか?

フィードバックありがとうございました!

いただいたご提案/ご意見に関して、トレンドマイクロから詳細確認のため、Eメールを送付させていただく場合がありますので、Eメールアドレスを入力してください:
入力いただいたEメールアドレスはソリューション改善のためだけに使用いたします.

*こちらに技術的なご質問などをいただきましてもご返答する事ができません.

何卒ご了承いただきますようお願いいたします.


To help us improve the quality of this article, please leave your email here so we can clarify further your feedback, if neccessary:
We will not send you spam or share your email address.

*This form is automated system. General questions, technical, sales, and product-related issues submitted through this form will not be answered.


ユーザーガイド