FortiGateのパケットキャプチャの取得方法について

FortiGateのパケットキャプチャ（sniffer trace）は、ネットワークトラブルの原因調査やパケットフローの確認などに非常に有効な手段です。

ここでは、FortiGateのCLI（Command Line Interface）を用いたパケットキャプチャの基本から、応用的な使い方、結果の保存と分析までを詳しく解説します。

FortiGateでパケットキャプチャを行う方法（基本）

基本構文

diagnose sniffer packet <interface> '<filter>' <verbosity> <count> <time>

各パラメータの説明

verbosity（表示レベル）の違い

具体例

例1：任意のインターフェースで80番ポートのHTTPトラフィックを50個キャプチャ

diagnose sniffer packet any 'port 80' 3 50

例2：192.168.10.1から送信されたパケットのみキャプチャ（インターフェースport3）

diagnose sniffer packet port3 'src host 192.168.10.1' 2 100

例3：全インターフェースのDNSトラフィックをリアルタイムで確認（止めるまで続く）

diagnose sniffer packet any 'port 53' 1 0

キャプチャの停止

実行中のスニファーを停止するには、キーボードの Ctrl + C を押してください（SSHなどCLI上で）。

パケットを .pcap ファイルとして保存する方法（GUIまたはCLI）

GUIでのキャプチャ手順（FortiOS 6.0以降）

1. GUIにログイン
2. Network > Packet Capture に移動
3. [Create New] をクリック
4. インターフェース、フィルタ、キャプチャ数などを設定
5. 実行後、ファイルを .pcap 形式でダウンロードし、Wiresharkなどで解析可能

CLIからローカルファイルとして保存（diag sniffer packet は不可）

FortiGateのCLIコマンド diagnose sniffer packet はそのままでは .pcap 保存できません。

保存したい場合は以下のようにします。

方法：diag debug flow の代わりに packet-capture コマンド使用

config system packet-capture
edit cap1
set interface port3
set filter 'host 192.168.1.1'
set number-of-packets 100
set file-size 10
set action start
next
end

実行後にGUIからダウンロードできます（System > Packet Capture または Debug > Packet Capture から）。

Wiresharkでの分析

GUIまたはTFTPで取得した.pcapファイルはWiresharkで読み込むことで、詳細なTCPセッション、フロー、TLSハンドシェイクなどを視覚的に分析できます。

TFTPを使ったパケットファイルの外部送信（CLIのみ）

FortiGateはローカルにファイルを保存できないため、TFTPで外部に送信することが可能です。

execute packet-capture export tftp <tftpサーバのIP> <ファイル名>

例

execute packet-capture export tftp 192.168.1.10 capture1.pcap

注意点とヒント

• 負荷に注意: 詳細なキャプチャ（verbosity 3など）はCPU負荷が高くなるため、本番環境での使用は慎重に。
• any インターフェース: すべてのインターフェースでキャプチャでき便利。ただし、どこから来たのかを正確に判別するには in/out の向きやMACアドレスも見る必要あり。
• vdom環境では config vdom → edit <vdom名> してからキャプチャコマンドを入力

まとめ

以上、FortiGateのパケットキャプチャの取得方法についてでした。

最後までお読みいただき、ありがとうございました。