Ejecutar tareas de diagnóstico para obtener más información acerca de los mensajes de registro
Puede usar la herramienta Tareas de Diagnóstico de Firebox System Manager (FSM) para conocer obtener más información acerca de un mensaje de registro, o para revisar información en sus mensajes de registro de Firebox para ayudarle a depurar los problemas en su red. Puede hacer ping en la dirección IP de origen o destino, trazar la ruta a la dirección IP de origen o destino, buscar información de DNS para una dirección IP o ver información sobre los paquetes transmitidos por la red (volcado de TCP). Puede incluir argumentos en los detalles de tarea para acortar los resultados. Además, puede ejecutar el Informe de Diagnóstico VPN para ver la información de configuración y estado para una puerta de enlace VPN y los túneles de VPN de sucursal asociados.
Para obtener más información sobre los mensajes de registro generados por su Firebox, consulte el apartado Catálogo de Registros de Fireware, disponible en la página de la documentación WatchGuard Firebox y Dimension.
Ejecutar Tareas de Diagnóstico
En Firebox System Manager, puede ejecutar las tareas de diagnóstico para revisar la información en todos los mensajes de registro de su Firebox. Esto puede ayudarlo a depurar los problemas en su red.
- En la pestaña Traffic Monitor, haga clic derecho en un mensaje y seleccione Tareas de Diagnóstico.
O bien, seleccione Herramientas > Tareas de Diagnóstico.
Aparece el cuadro de diálogo Tareas de Diagnóstico, con la pestaña Red seleccionada.
- En la lista desplegable Tarea, seleccione la tarea a ejecutar.
- Ping IPv4
- Ping IPv6
- traceroute
- Búsqueda de DNS
- TCP Dump
Si selecciona Ping, traceroute o Búsqueda de DNS, aparece el cuadro de texto Dirección.
Si selecciona Volcado de TCP, aparecerá la lista desplegable Interfaz.
- En el cuadro de texto Dirección, ingrese una dirección IP y nombre de host.
O, de la lista desplegable Interfaz, seleccione una interfaz para incluir en la búsqueda. - Para reducir el número de resultados que ve, seleccione la casilla de verificación Opciones Avanzadas.
Aparece el cuadro de texto Argumentos.
- En el cuadro de texto Argumentos, ingrese los argumentos para incluir en la búsqueda.
Asegúrese de incluir el valor que especificó o en el cuadro de texto Dirección o en la lista desplegable Interfaz. Si no incluye este valor en los argumentos ingresados, la búsqueda no se ejecuta.
Para ver una lista de los argumentos disponibles, coloque su cursor sobre el cuadro de texto Argumentos, o mantenga el cuadro de texto vacío y haga clic en Ejecutar Tarea.Argumentos Ping IPv4ping [-LRUbdfnqrvVaA] [-c count] [-i interval] [-w deadline]
[-p pattern] [-s packetsize] [-t ttl] [-I interface or address]
[-M mtu discovery hint] [-S sndbuf]
[ -T timestamp option ] [ -Q tos ] [hop1 ...] destino
Argumentos Ping IPv6ping6 [-LUdfnqrvVaA] [-c count] [-i interval] [-w deadline]
[-p pattern] [-s packetsize] [-t ttl] [-I interface]
[-M mtu discovery hint] [-S sndbuf]
[-F flow label] [-Q traffic class] [hop1 ...] destino
Argumentos traceroute6.1.3 GOLD+emf_prototrace0.2: Uso de TrACESroute: traceroute [-adnruvAMOQ] [-w wait] [-S start_ttl] [-m max_ttl] [-p port#] [-q nqueries] [-g gateway] [-t tos] [-s src_addr] [-g router] [-I proto] host [data size]
-a: Abortar después de 10 desconexiones consecutivas
-d: Depuración a nivel de conector
-g: Usar esta puerta de enlace como salto intermedio (usa LSRR)
-S: Configurar TTL inicial (predeterminado de 1)
-m: Configurar TTL máximo (predeterminado de 30)
-n: Reportar solo direcciones IP (no nombres de host)
-p: Usar un puerto UDP alterno
-q: Configurar el número de consultas en TTL (predeterminado de 3)
-r: Configurar la opción No enrutar
-s: Configurar su dirección de origen
-t: Configurar el campo IP TOS (predeterminado de 0)
-u: Usar marcas de tiempo de microsegundos
-v: Descripción
-w: Configurar el tiempo de espera para respuestas (predeterminado de 5 seg.)
-A: Reportar el número AS en cada salto (de GRR)
-I: Usar este protocolo IP (actualmente un entero) en lugar de UDP
-M: Realizar el descubrimiento MTU de la ruta RFC1191
-O: Reportar el propietario en cada salto (de DNS)
-P: Sondeo paralelo
-Q: Reportar las estadísticas de retraso en cada salto (min/avg+-stddev/max) (ms)
-T: Exterminador (finalizador de extremo de línea)
-U: Ir al siguiente salto en cualquier éxito
Búsqueda de DNSdnslookup destination
TCP Dumptcpdump [-aAbdDefIKlLnNOpPqRStuUvxX] [ -B size ] [ -c count ]
[ -E algo:secret ] [ -i interface ] [ -M secret ] [ -s snaplen ]
[ -T type ] [ -y datalinktype ] [ -z command ]
[ expression ]
- Haga clic en Ejecutar tarea.
Aparece la información de la tarea en la lista Resultados y aparece el botón Detener Tarea. - Para detener la tarea de diagnóstico, haga clic en Detener tarea.
- Haga clic en Cerrar para cerrar el cuadro de diálogo Tareas de Diagnóstico y regresar al Traffic Monitor.
Ejecutar ping o Trace Route para un Mensaje de Registro de Tráfico
Es posible ejecutar una tarea de ping o Trace Route en la dirección IP de destino o de origen para un mensaje de registro de tráfico específico, para refinar la información que observa para ese mensaje.
- En la pestaña Traffic Monitor, seleccione un mensaje de registro.
- Haga clic con el botón derecho en el mensaje y seleccione una tarea:
- Dirección IP de Origen > Ping
- Dirección IP de Origen > Trace Route
- Dirección IP de Destino > Ping
- Dirección IP de Destino > Trace Route
Aparece el cuadro de diálogo Tareas de Diagnóstico con la información para el mensaje de registro seleccionado y la tarea insertada en los campos apropiados. La tarea seleccionada inicia automáticamente.
- Para reducir el número de resultados que ve, seleccione la casilla de verificación Opciones Avanzadas.
Aparece el cuadro de texto Argumentos. - En el cuadro de texto Argumentos, ingrese los argumentos y la dirección IP que quiere incluir en la búsqueda. Asegúrese de ingresar la dirección IP del cuadro de texto Dirección de nuevo.
Para ver una lista de los argumentos disponibles, coloque su cursor sobre el cuadro de texto Argumentos, o mantenga el cuadro de texto vacío y haga clic en Ejecutar Tarea. - Después de haber ingresado cualquier argumento, haga clic en Ejecutar Tarea.
Aparece la información de la tarea en la lista Resultados y aparece el botón Detener Tarea. - Para detener la tarea de diagnóstico, haga clic en Detener tarea.
Busque la dirección IP para un Nombre de Host
Desde Firebox, puede utilizar la tarea de Búsqueda de DNS para encontrar en qué dirección IP se resuelve un nombre de host.
- En la lista desplegable Tarea, seleccione Búsqueda de DNS.
Aparecerá el cuadro de texto Dirección. - En el cuadro de texto Dirección, ingrese el nombre de host.
- Haga clic en Ejecutar tarea.
Aparece la dirección IP para el nombre de host que especificó en la lista de Resultados.
Descargar un Archivo PCAP
En el cuadro de diálogo Tareas de Diagnóstico, puede descargar un archivo captura de paquete (.PCAP) para ayudarle a diagnosticar problemas con el tráfico en su red. El archivo .PCAP captura los resultados de la tarea de volcado de TCP más reciente que ejecuta para que pueda revisar los protocolos encontrados en los resultados de tareas fuera de Traffic Monitor. Si no guarda los resultados del volcado de TCP en un archivo .PCAP, los resultados de la tarea de volcado de TCP se borran al ejecutar una nueva tarea de diagnóstico. Puede guardar los datos de volcado de TCP en un archivo en su equipo mientras ejecuta la tarea, o puede guardar los resultados en su Firebox y descargar el archivo después.
Cuando usted activa las Opciones avanzadas para que incluyan argumentos en la tarea de volcado de TCP, siempre debe especificar una interfaz. Esta puede ser una interfaz física en el Firebox (por ejemplo, eth0), una interfaz de Conjunto de Enlaces (por ejemplo, bond0), una interfaz inalámbrica (por ejemplo,ath0) o una interfaz VLAN (por ejemplo, vlan10). Si especifica una VLAN o interfaz de puente, y el tráfico coincide con una regla de proxy, el volcado de TCP solo captura el primer paquete entrante en esa interfaz. Para capturar todos los paquetes, debe ejecutar la tarea de volcado de TCP en la interfaz física desde donde se originan los paquetes.
Si ejecuta una tarea de volcado de TCP para un dispositivo XTM 2 Series con servicios de suscripción habilitados, puede que observe una reducción en el desempeño de su dispositivo Firebox. Cuando la tarea está completada, el desempeño de su dispositivo regresa a su estado normal.
Acerca de Argumentos de Volcado de TCP
Cuando ejecute la tarea de volcado de TCP, debe especificar la interfaz en la cual ejecuta la tarea. Además, puede incluir expresiones en los argumentos de tarea para filtrar por tráfico específico.
Para especificar la interfaz, incluya el argumento, y nombre y número de interfaz de -i. Por ejemplo:
-i eth1 — Interfaz física # 1
-i ath1 — Interfaz inalámbrica #1
-i br1 — Interfaz de puente #1
-i bond1 — Interfaz de conjunto de enlace #1
-i vlan1 — Interfaz VLAN #1
Para estructurar una expresión que filtre el tráfico desde la interfaz que especifique, puede utilizar cualquiera de las palabras claves y operadores de volcado de TCP estándar. Algunas de las palabras clave y operadores más comunes son:
host — Solo incluir tráfico hacia y desde la dirección IP de host especificada.
red — Solo mostrar tráfico hacia o desde las direcciones IP en la subred especificada. Por ejemplo, para 10.0.1.0/24, ingrese 10.0.1.
puerto — Solo mostrar tráfico ya sea con un origen o destino del puerto especificado.
portrange — Solo mostrar tráfico desde el intervalo de puertos especificado.
ip proto — Solo mostrar tráfico desde el protocolo especificado. Por ejemplo, para paquetes ESP, ingrese 50.
src o dst — Utilizar con las palabras claves host o puerto para especificar el origen o destino.
tcp o udp — Utilizar con las palabras claves puerto o portrange para especificar el protocolo.
and/or — Utilizar para combinar expresiones.
Para ver una lista completa de las palabras clave disponibles y de los ejemplos detallados sobre cómo crear expresiones de filtrado, consulte la página principal de PCAP-Filter en http://www.tcpdump.org/manpages/pcap-filter.7.html.
Ejemplos de argumentos de volcado de TCP:
-i eth1 host 10.0.1.25 y puerto de destino 80
Solo mostrar tráfico en la interfaz eth1, hacia o desde 10.01.25 con el puerto de destino 80.
-i eth0 tcp puerto 25
Solo mostrar tráfico en la interfaz eth0, hacia o desde el puerto TCP 25.
-i vlan1024
Solo mostrar tráfico etiquetado con VLAN 1024.
-i eth0 udp puerto 500 o ip proto 50
Mostrar todos los paquetes UDP port 500 o ESP para la interfaz eth0.
-i eth2 src 10.0.1.100 y dst 10.0.2.25
Mostrar todo el tráfico desde 10.0.1.100 hasta 10.0.2.25 en la interfaz eth2.
Guardar datos de volcado de TCP directamente a un archivo PCAP
Para guardar los datos de volcado de TCP en un archivo .PCAP mientras se ejecuta la tarea:
- En la pestaña Traffic Monitor, haga clic derecho en un mensaje y seleccione Tareas de Diagnóstico.
O bien, seleccione Herramientas > Tareas de Diagnóstico.
Aparece el cuadro de diálogo Tareas de Diagnóstico, con la pestaña Red seleccionada. - De la lista desplegable Tarea, seleccione Volcado de TCP.
Aparece una lista desplegable de Interfaces. - Seleccione la casilla de verificación Avanzadas.
Aparecen las opciones Avanzadas.
- En el cuadro de texto Argumentos, ingrese los parámetros para la búsqueda. Los parámetros distinguen entre mayúsculas y minúsculas.
Por ejemplo, para capturar datos PCAP para la interfaz externa predeterminada, ingrese -ieth0. - Seleccionar la casilla Transmitir datos a un archivo.
- Haga clic en Explorar para especificar una ubicación para guardar el archivo .PCAP y un nombre para el archivo.
- Haga clic en Ejecutar tarea.
Se ejecuta la tarea de volcado de TCP. Los datos de volcado de TCP no aparecen en la lista Resultados.
- Cuando el volcado de TCP haya recopilado resultados suficientes, haga clic en Detener tarea.
El volcado de TCP se detiene automáticamente si el archivo llega ya sea a el tamaño máximo permitido para su computadora, o a la cantidad que especificó en el cuadro de texto Argumentos.
La tarea de volcado de TCP se detiene y el archivo .PCAP se guarda en la ubicación especificada.
Después de guardar el archivo .PCAP, puede abrir el archivo en una aplicación de terceros, tal como Wireshark, y revisar los protocolos incluidos para resolver problemas en su configuración de red.
Guardar Datos de Volcado de TCP en su Firebox
También puede seleccionar la captura de datos del volcado de TCP en Firebox y luego guardarlo como un archivo .PCAP en su equipo.
En el cuadro de diálogo Tareas de Diagnóstico:
- De la lista desplegable Tarea, seleccione Volcado de TCP.
Aparece una lista desplegable de Interfaces. - Seleccione la casilla de verificación Avanzadas.
Aparecen las opciones Avanzadas. - En el cuadro de texto Argumentos, ingrese los parámetros para la búsqueda. Los parámetros distinguen entre mayúsculas y minúsculas.
Por ejemplo, para capturar datos .PCAP para la interfaz externa predeterminada, ingrese -ieth0. - Seleccione la casilla de verificación Almacenar datos para guardar después.
- Haga clic en Ejecutar tarea.
Se ejecuta la tarea de volcado de TCP. Aparecen los datos de volcado de TCP en la lista Resultados, y aparece el botón Detener tarea.
- Cuando el volcado de TCP haya recopilado resultados suficientes, haga clic en Detener tarea.
El volcado de TCP también se detiene automáticamente cuando todos los resultados son capturados.
La tarea de volcado de TCP se detiene y aparece el botón Guardar archivo PCAP.
- Haga clic en Guardar Archivo PCAP para especificar una ubicación para guardar el archivo .PCAP y un nombre para el archivo.
El tamaño máximo del archivo .PCAP es 30 MB. Si el Firebox tiene memoria limitada, el tamaño del archivo .PCAP se restringe en relación con la memoria disponible en el dispositivo.
Copiar una Dirección IP de Mensaje de Registro
Puede copiar la dirección IP de origen o de destino de un mensaje de registro en Traffic Monitor y pegarla en otro programa o cuadro de diálogo.
- En la pestaña Traffic Monitor, seleccione un mensaje de registro.
- Haga clic con el botón derecho en el mensaje y seleccione una tarea:
- Dirección IP de Origen > Copiar Dirección IP de Origen
- Dirección IP de Destino > Copiar Dirección IP de Destino
Se copia la dirección IP seleccionada en el portapapeles del sistema.
Obtener más información acerca de las firmas IPS en los mensajes de registro de tráfico
Si usted ha habilitado la generación de registros para las firmas Intrusion Prevention Service (IPS), puede utilizar Traffic Monitor para obtener más información acerca de las identificaciones de firma asociadas con los mensajes de registro de tráfico.
En la pestaña Traffic Monitor:
- Seleccione un mensaje de registro de tráfico con una identificación de firma, por ejemplo, Detectar IPS.
- Haga clic con el botón derecho en el mensaje de registro y seleccione Búsqueda de Información de Firma.
Aparece el sitio web de firmas de WatchGuard con detalles para la firma.
Para más información sobre IPS y las firmas IPS, consulte Acerca de Intrusion Prevention Service y Mostrar Información de las Firmas del IPS.
Ejecutar un Informe de Diagnóstico de VPN
Para ver información de configuración y estado para una puerta de enlace VPN y los túneles de VPN de sucursal asociados, puede ejecutar un Informe de Diagnóstico de VPN. Cuando ejecuta un informe, Firebox incrementa temporalmente el nivel de registros para la puerta de enlace seleccionada.
En el cuadro de diálogo Tareas de Diagnóstico:
- Seleccione la pestaña VPN.
- En la lista desplegable Puerta de enlace, seleccione una puerta de enlace VPN.
- Para actualizar las puertas de enlace de VPN incluidas en la lista desplegable Puerta de Enlace, haga clic en .
- En el cuadro de texto Duración, escriba o seleccione el número de segundos para ejecutar el Informe de diagnóstico de VPN.
- Haga clic en Comenzar Informe.
La tarea de diagnóstico inicia y se genera el informe.
El Firebox recopila mensajes de registro por la duración especificada. Una vez finalizada la tarea, en la sección Resultados se mostrarán detalles acerca de la configuración de puertas de enlace y túneles e información sobre el estado de los túneles activos para la puerta de enlace seleccionada. El nivel de registro regresa luego al nivel establecido anteriormente.
También puede ejecutar el Informe de Diagnóstico VPN desde la pestaña Panel Delantero de FSM:
- Expanda el árbol de Túneles de VPN de Sucursal.
- Seleccione una interfaz VPN o puerta de enlace.
- Haga clic derecho en la interfaz VPN o puerta de enlace seleccionada y seleccione Informe de Diagnóstico VPN.
Aparece el cuadro de diálogo Tareas de Diagnóstico, con la pestaña VPN seleccionada. El Informe de Diagnóstico VPN se ejecuta para la puerta de enlace seleccionada, con una duración de 20 segundos. - Para ejecutar el informe nuevamente, haga clic en Iniciar Informe.
Para obtener más información acerca del Informe de Diagnóstico para VPNs, consulte Usar el Informe de Diagnóstico de VPN.
Ver También
Mensajes de Registro de Dispositivo (Traffic Monitor)
Acerca de la Generación de Registros y Notificación de Firebox
Ver Mensajes de registro e Informes en WebCenter
Acerca de la Configuración Inalámbrica de un Firebox