Hallo,
ich hatte mal mit einem Lancom-Mitarbeiter ein Wireshark-Trace auf einer UF erstellt. Nun habe ich wieder den Fall, dass ich ein Trace zur Fehleranalyse benötige. Nach meiner Erinnerung kann ich das erstellen, wenn ich im Monitoring Rohdaten lokal speichern aktiviere. Später kann ich diese Daten per SCP herunterladen, aber in welchem Verzeichnis werden die Daten gespeichert?
Danke, Martin
Speicherort Wireshark Logs
Moderator: Lancom-Systems Moderatoren
- nibbleminx
- Beiträge: 12
- Registriert: 03 Sep 2024, 18:19
Re: Speicherort Wireshark Logs
So funktioniert das nicht.
Rohdaten lokal speichern heißt nicht, dass permanent pcaps angefertigt werden. Im Modus "Rohdaten Lokal speichern" werden lediglich Metainformationen in Textform aufgezeichnet. Zeit, Quelle, Ziel und was damit gemacht wurde. (erlaubt,verboten etc.)
Wenn der Support pcaps anlegt, werden die nmW. meisten entweder in /home/gpadmin/ oder in /tmp/ abgelegt.
Die kann man aber auch ganz einfach selbst anlegen.
per ssh mit dem Support-Passwort anmelden:
dann mit
ethX natürlich mit der passenden Schnittstelle ersetzen "any" geht auch und IP.DES.DIN.GS mit der IP des Dings das aufgezeichnet werden soll. =
Mit CTRL+C kommst du wieder aus der laufenden Aufnahme raus. Danach kannst du das pcap aus /home/gpadmin mit filezilla oder winscp holen.
Vorsicht. nicht zu lange laufen lassen und die *.pcaps und nur die pcaps am besten später wieder löschen. Die Firewalls mögen es nicht so sehr, wenn sie keinen freien Speicher mehr haben.
Mit kannst du vorab schauen, wie viel platz noch auf / frei ist.
Rohdaten lokal speichern heißt nicht, dass permanent pcaps angefertigt werden. Im Modus "Rohdaten Lokal speichern" werden lediglich Metainformationen in Textform aufgezeichnet. Zeit, Quelle, Ziel und was damit gemacht wurde. (erlaubt,verboten etc.)
Wenn der Support pcaps anlegt, werden die nmW. meisten entweder in /home/gpadmin/ oder in /tmp/ abgelegt.
Die kann man aber auch ganz einfach selbst anlegen.
per ssh mit dem Support-Passwort anmelden:
Code: Alles auswählen
ssh -l gpadmin 192.IP.DER.UF
Code: Alles auswählen
sudo tcpdump -nvli ethX host IP.DES.DIN.GS -w /home/gpadmin/dings.pcap
Mit CTRL+C kommst du wieder aus der laufenden Aufnahme raus. Danach kannst du das pcap aus /home/gpadmin mit filezilla oder winscp holen.
Vorsicht. nicht zu lange laufen lassen und die *.pcaps und nur die pcaps am besten später wieder löschen. Die Firewalls mögen es nicht so sehr, wenn sie keinen freien Speicher mehr haben.
Mit
Code: Alles auswählen
sudo df -h
Better safe than sorry. Erst das Backup, danach alles Andere