La grille Captures en cours

Les actions

Rafraîchir la liste de captures

Permet de rafraîchir la liste des captures en cours et leurs informations.

Créer une capture

Crée une nouvelle capture. La procédure est détaillée dans la section suivante.

Arrêter la capture

Arrête une capture en cours. Sélectionnez au préalable la capture concernée.

Redémarrer la capture

Permet de rejouer une capture en pré-remplissant ses paramètres dans la fenêtre de création d'une nouvelle capture. Sélectionnez au préalable la capture concernée.

Copier le filtre

Copie le filtre TCPDump d'une capture. Sélectionnez au préalable la capture concernée. Ce filtre peut ensuite être utilisé pour créer une nouvelle capture.

Créer une capture

Vous pouvez lancer jusqu'à 5 captures simultanément mais une seule à la fois par interface. À noter que les performances du firewall peuvent être affectées pendant l'exécution des captures réseau. Si l'espace disque utilisé par les captures est égal ou supérieur à 95 %, il n'est plus possible de lancer une nouvelle capture. Lorsque ce seuil est atteint, toutes les captures en cours s'arrêtent automatiquement.

Pour créer une capture, cliquez sur Créer une capture et choisissez parmi :

  • Filtre TCPDump : permet de créer une capture en renseignant manuellement le filtre. Vous devez connaître le format des filtres TCPDump ou être déjà en possession du filtre.

  • Assistant de création de filtre : permet de créer une capture par le biais d'un assistant de création afin de construire pas à pas le filtre TCPDump.

Une fois la fenêtre de création ouverte, complétez les informations :

Interface

Choisissez l'interface où capturer le trafic réseau.
Notez que les interfaces de type loopback ne peuvent pas être sélectionnées pour une capture réseau, ceci afin de ne pas permettre la capture de flux déchiffrés par le proxy SSL.

Durée max. (sec)

Précisez la durée maximale durant laquelle la capture peut capturer des paquets. Cette valeur ne peut pas excéder 172 800 secondes (soit 48 heures). La capture s'arrête automatiquement après avoir atteint la durée maximale, sauf si la capture est arrêtée avant par un autre paramètre.

Nombre max. de paquets

Précisez le nombre maximal de paquets que la capture peut capturer. Cette valeur ne peut pas excéder 2 147 483 647. La capture s'arrête automatiquement si ce nombre est atteint, sauf si la capture est arrêtée avant par un autre paramètre.

Taille limite de paquet

Vous pouvez définir une limite concernant la taille des paquets capturés. Ceux dépassant cette taille seront tronqués. La valeur 0 permet de capturer les paquets complets. Cette valeur ne peut pas excéder 262 144.

Filtre TCPDump

Si vous avez sélectionné Filtre TCPDump, seul le champ Filtre TCPDump apparaît. Renseignez-y le filtre.

 

Si vous avez sélectionné Assistant de création de filtre, plusieurs champs apparaissent. Complétez uniquement ceux nécessaires à votre capture.

  • Protocoles de transport : renseignez les protocoles de transport (tcp, udp, icmp, ...) concernés par la capture.

  • Protocoles réseau : renseignez les protocoles réseau (ip, ip6, arp, ...) concernés par la capture.

  • Bi-directionnel : cette case cochée par défaut permet d'appliquer les mêmes valeurs Machines, Adresses MAC et Ports en source et en destination. Décochez cette case pour accéder aux onglets Source et Destination.

    • Machines : entrez les adresses IP des machines concernées par la capture.

    • Adresses MAC : entrez les adresses MAC concernées par la capture.

    • Ports : entrez les ports concernés par la capture.

NOTE
Utilisez l'attribut Égal à ou Différent de selon ce que vous souhaitez capturer ou non. Cliquez sur l'icône à côté de la zone de texte pour modifier l'attribut.

Une fois les informations complétées, cliquez sur Démarrer pour lancer la capture. Durant son exécution, vous pouvez quitter le module Captures réseau et y revenir plus tard.

NOTE
Dans une configuration en Haute Disponibilité (HA), les captures réseau peuvent être arrêtées seulement depuis le firewall qui les a lancées. Lors du basculement du firewall actif en passif, les captures en cours continuent de s'exécuter jusqu'à s'arrêter automatiquement selon la valeur du paramètre Durée max. (sec).

La grille

Interface

Interface sur laquelle la capture est en cours.

Filtre TCPDump

Filtre TCPDump de la capture.

Durée max. de capture

Durée maximale durant laquelle la capture peut capturer des paquets.

Taille limite de paquet

Taille limite de paquet définie pour la capture.

Nombre de paquets

Nombre de paquets actuellement capturés dans la capture. La valeur de cette colonne ne s'actualise pas en temps réel. Utilisez le bouton Rafraîchir la liste de captures pour actualiser les informations de la grille.

Nombre max. de paquets

Nombre maximal de paquets que la capture peut capturer.