F5 命令行查看http会话并记录日志,tcpdump抓包以及常用命令 | 您所在的位置:网站首页 › tcpdump抓出去的包 › F5 命令行查看http会话并记录日志,tcpdump抓包以及常用命令 |
通过抓包查看数据包中的客户端源IP。 -s snaplen snaplen表示从一个包中截取的字节数。0表示包不截断,抓完整的数据包。默认的话 tcpdump 只显示部分数据包,默认68字节。 -v 输出一个稍微详细的信息,例如在ip包中可以包括ttl和服务类型的信息; tcpdump -ni0.0 -s0 -w /var/tmp/test.cap host 146.240.31.148 -vvv ssldump -i 1.1 host 145.255.248.82 抓包命令:~# tcpdump -s0 -nni 0.0:nnn host 10.128.48.1 -vw /var/tmp/text.pcap tcpdump -ni 0.0:nnnp -s0 host 10.27.96.4 and port 443 -vvv -w /appdata/mus.pcap VS-ip and port 抓包 某vlan下指定某个IP的数据流向分析 tcpdump -ni internal host 10.27.210.4 tcpdump –nivlan_name host ip and port 80 ;某vlan下指定某个IP的80端口的数据流向分析 tcpdump -ni internal host 10.27.210.4 and port 80 F5 命令行查看http会话 命令详解:(tmos)#show sys connection 后面可以加以下参数: 1.VS cs-server-addr 指定活动连接的客户端本地地址。支持子网。【VS-IP 常用】 cs-server-port 指定活动连接的客户端本地端口。 tmsh show sys connection cs-server-addr 58.49.204.248 cs-server-port 443 2.客户源 cs-client-addr 指定活动连接的客户端远程地址。支持子网。【Client-IP】 cs-client-port 指定活动连接的客户端远程端口。 tmsh show sys connection cs-client-addr 223.104.12.112 max-result-limit 指定要显示的最高匹配结果的最大数量。默认 1000。 protocol 指定用于指定连接的协议(例如:tcp、udp)。 3.后端服务器 ss-server-addr 指定活动连接的服务器端远程地址。【Server-IP】 ss-server-port 指定活动连接的服务器端远程端口。 tmsh show sys connection ss-server-addr 10.26.7.6 ss-server-port 443 SNAT地址 ss-client-addr 指定活动连接的服务器端本地地址。【SNAT地址】//前提是:做了snatss-client-port 指定活动连接的服务器端本地端口。 type 指定用于指定连接的连接类型(例如:any、mirror、self) 常用命令:(tmos)#show sys connection cs-server-addr VS_IP cs-server-port VS_Port 备注:10.128.48.147为F5的SNAT地址 配置记录Log的iRules Note: 可以看到Pool中成员被访问的客户端源IP的log. iRules如下: when CLIENT_ACCEPTED { set vip [IP::local_addr]:[TCP::local_port] } when SERVER_CONNECTED { set client "[IP::client_addr]:[TCP::client_port]" set node "[IP::server_addr]:[TCP::server_port]" log local0.info "Client $client -> VIP: $vip -> Node: $node" } 将此irules关联VS 后台查看Log日志 Note: 一般可以看到7天左右的日志,如果要看很早的日志,可以查看QKView cat /var/log/ltm bigstartrestrart重新bigip进程 查看网络配置信息: list /net vlanlist /net interfacelist /net arplist /net routelist /net selflist /net self-allowlist /net trunklist /ltm pool 查看Pool配置信息list /ltm pool [http-pool] 查看vs配置信息list /ltm virtuallist /ltm virtual-addresscreate net route 10.0.0.0/24 gw 10.128.10.1 查看/sys配置信息: list /sys dblist /sys httpd allowlist /sys management-ip(查看设备管理口地址)list /sys management-route(查看设备管理口路由)list /sys ntp(查看ntp配置信息)list /sys provision(查看设备模块激活状态)list /sys service(查看服务开启状态)list /sys snmp(查看snmp配置信息)list /sys syslog(查看syslog配置信息)show /net命令: show /cli history(查看命令行历史记录)show /net arp(查看arp映射信息)show /net interface(查看各个接口统计流量信息)show /net route(查看路由表)show /net vlan(查看各个vlan流量统计信息)show /net vlan-groupshow /net trunk(查看trunk流量统计信息)show /sys命令: show /sys config-sync(查看系统配置同步状态信息)show /sys connectionshow /sys connection | grep 1026 #查看HA状态,成对为正常show /sys cpushow /sys hardware(查看系统硬件信息)show /sys host-infoshow /sys raid(查看硬盘raid状态)show /sys performance system(查看系统总体性能)show /sys software(查看系统总体软件信息)show /sys ip-address(查看系统ip地址,包括所有的vs、pool地址信息)show /sys ip-address | grep 10.25.25 show /sys ip-address all-properties(查看系统地址信息,包括地址属性)show /sys license(查看系统license摘要信息)show /sys license detailshow /sys log ltm(查看系统log信息)show /sys mac-address(查看系统中所有的mac地址信息)show /sys mcp-state(查看mcp运行状态)show /sys memory(查看系统内存统计信息)show /sys ucs(查看保存的ucs文件名称)show /sys version(查看系统软件版本信息)show /sys software(查看系统软件版本信息)导配置 tmsh save sys ucs test.ucs/var/local/ucs (ucs目录)tmsh load /sys ucs xxxx.ucs no-license(导入配置V11)load /sys ucs xxxx.ucs rma (v10-这里面有个技巧输入rma是不会恢复证书的因此不需要重新激活)save /sys configtmsh load sys ucs [ucs file name] no-platform-check no-license在tmsh模式下使用相关的测试命令: run util ping 1.1.1.1(执行ping操作)run util tcpdump(执行tcpdump抓包分析)run util tracepath 1.1.1.1(执行tracepath操作)创建和删除pool: # create /ltm pool [abc] # delete /ltm pool [abc] 重置pool、vs的统计信息: reset-stats /ltm poolreset-stats /ltm pool [http-pool]reset-stats /ltm virtualreset-stats /ltm virtual [vs-test-80]启动、停止、重启系统中某个服务: start /sys service [snmpd]stop /sys service [snmpd]restart /sys service [snmpd]bigstart status snmpd:查看进程运行状态定义和删除别名: create /cli alias [xx] command ["save /sys config"]delete /cli alias [xx] 创建pool并添加pool-member: create /ltm pool [abc] members add { 9.9.9.9:http 7.7.7.7:http } 对创建的pool增加健康检查方式:modify /ltm pool [abc] monitor httpmodify /ltm pool [abc] monitor http and https modify /ltm pool [abc] monitor none 创建vs,使用源地址会话保持,并指定缺省的poolcreate /ltm virtual abcd { destination 6.6.6.6:http persist replace-all-with { source_addr } pool aquit:退出tmos CRT---SFTP sftp> cd /var/log #cd目录 sftp> lcd c:\ #lcd本地目的 sftp> get ltm #获取ltm的log |
CopyRight 2018-2019 实验室设备网 版权所有 |