packet-capture
语法
packet-capture { aggressive-mode; buffer-packets-limit bytes; capture-interval capture-interval; capture-limit capture-limit; global; max-bytes bytes; max-files max-files; max-packets max-packets; no-inconclusive; storage-limit bytes; }
层次结构级别
[edit services application-identification]
描述
指定数据包捕获选项以捕获未知应用程序流量。
您可以使用未知应用程序的数据包捕获功能来收集有关安全设备上未知应用程序的更多详细信息。在安全设备上配置数据包捕获选项后,未知应用程序流量将被收集并存储在设备上的数据包捕获文件 (.pcap) 中,地址为 /var/log/pcap/ 位置。
选项
aggressive-mode | 在 AppID 对应用程序进行分类之前捕获所有流量。在此模式下,系统捕获所有应用程序流量,而不考虑应用程序系统缓存 (ASC) 条目。数据包捕获从第一个会话的第一个数据包开始。 |
buffer-packets-limit | 用于缓冲数据包的最大内存(字节)。使用此选项可限制数据包转发引擎中可用于数据包捕获功能的内存。
|
capture-interval | 超时值(以分钟为单位),以避免重复捕获相同的流量。在此间隔之后,系统将继续捕获未知应用程序的新数据包详细信息,直到达到捕获限制。
|
capture-limit | 重复捕获相同流量的次数。使用此选项可限制在缓存条目超时之前可以重复捕获相同流量的次数。
|
global | 全局启用数据包捕获以捕获所有未知的应用程序流量。另一种选择是捕获特定于安全策略的未知应用程序流量。 |
max-bytes | 每个会话的最大 TCP 字节数(字节)。对于 TCP 会话,计数包括实际有效负载数据长度,不包括最大字节限制的 IP/TCP 标头。 如果在安全策略级别设置数据包捕获,则数据包捕获只有在应用最终策略后才会结束,即使达到配置的限制也是如此。 限制 - 巨型帧在捕获文件中最多可保存 1500 字节的有效负载。
|
max-files | 在最旧的文件被创建的新文件覆盖之前要创建的唯一数据包捕获文件的最大数量。
|
max-packets | 每个会话的最大 UDP 数据包数。
|
no-inconclusive | 禁用不确定流量的数据包捕获。此选项禁用以下会话的数据包捕获:
如果未配置此选项,则默认情况下,系统会捕获不确定会话的数据包。 |
storage-limit | 可在路由引擎中用于数据包捕获文件的最大磁盘空间(字节)。
|
所需权限级别
系统
发布信息
在 Junos OS 20.2R1 版中引入的语句。