購入する または契約更新する
購入する または契約更新する
キャンセル
提案をオンにする
自動提案では、入力時に可能な一致が提案されるので検索結果を素早く絞り込むことができます。
次の結果を表示 
次の代わりに検索 
もしかして: 
cancel
新しい記事を作成する
212
閲覧回数
1
いいね!
0
コメント

Umbrella: Wireshark によるパケットキャプチャについて

tkitahar
Cisco Employee
Cisco Employee

‎2025-05-07 02:56 PM

 

※ 2025 年 5 月 7 日現在の情報をもとに作成しています

※ Windows x64 版 Wireshark 4.4.6 を用いて記事を記載しています。動作に差異がある場合は、開発元のドキュメントに従ってください

 

1. はじめに

 

Umbrella のトラブルシューティングを行う際、問題が発生している端末の通信 (パケット) の中身を確認する必要がある場合があります。

 

本記事では、Wireshark を用いたパケットキャプチャの手順について簡単に紹介します。

 

How to: Capture Network Traffic with Wireshark

https://support.umbrella.com/hc/en-us/articles/230563547-How-to-Capture-Network-Traffic-with-Wireshark

 

2. Wireshark とは

 

Wireshark は、オープンソースのネットワーク・アナライザ・ソフトウェアで、パケットキャプチャを行うために広く用いられます。

 

以下のサイトから、Windows 版および macOS 版のインストーラーをダウンロードできます。

 

Download Wireshark

https://www.wireshark.org/download.html

 

ダウンロードしたインストーラー (exe ファイル) を実行すると、以下の画像のようなウィザードが起動します。

 

tkitahar_0-1746595962030.png

 

基本的にデフォルト設定のまま進めていくだけで、問題はなくインストールが完了します。

 

なお、パケットキャプチャを行った後、Wireshark が不要であれば、Windows の設定画面内にある「インストールされているアプリ」画面から Wireshark および付属ソフトウェアの Npcap をアンインストールできます。

 

tkitahar_1-1746595992377.png

tkitahar_2-1746595999956.png

 

3. 準備と計画

 

問題が発生している端末でパケットキャプチャを行う前に、以下の点について確認してください。

 

  • 問題を再現する上で不要なアプリケーションをすべて閉じる
  • 問題を再現する上で不要なネットワーク (有線/無線/VPN など) を切断する
  • Web ブラウザ上で問題が発生する場合、キャッシュなどを削除する
  • DNS の問題が疑われる場合、DNS キャッシュを削除する (Windows だと ipconfig /flushdns コマンド)

 

また、少なくとも、問題が再現する場合 (NG) と再現しない場合 (OK) の 2 回パケットキャプチャを行うことを強く推奨します。以下は具体的な例になります。

 

  • 問題が発生している端末 (NG) と問題が発生していない端末 (OK)
  • 特定のネットワークに繋いでいる時に問題が発生する場合、そのネットワークに繋いでいる状態 (NG) と切断した状態 (OK)
  • Cisco Secure Client などの特定のアプリケーションが起動している時に問題が発生する場合、アプリケーションを起動している状態 (NG) と停止している状態 (OK)

 

※ Windows のサービス画面にある「Cisco Secure Client – AnyConnect VPN Agent」を停止することで Cisco Secure Client 全体を停止できます

 

4. 手順

 

Wireshark を起動すると、「Wireshark へようこそ」画面が開きます。まずは、画面上部のメニューから「編集」>「設定」を選択します。

 

tkitahar_3-1746596030716.png

 

設定画面が開きますので、キャプチャしたデータに名前解決を適用する設定をオフにします。この設定は、特定のドメインの通信を探すのに有用ですが、Umbrella の DNS セキュリティ機能のトラブルシューティングを複雑化させてしまう場合があります。

 

具体的には「Name Resolution」欄の「Use captured DNS packet data for name resolution」および「Use your system’s DNS settings for name resolution」のチェックを外し、「OK」をクリックします。

 

tkitahar_4-1746596054222.png

 

次に、「キャプチャ」の欄の中から問題が発生しているネットワークを選択します。

 

※ ネットワーク名の右側にある波は、現在トラフィックが発生していることを示しています。ネットワークを選択する際の目安にしてください

 

複数のネットワークが関連している場合は、Ctrl キーを押しながらクリックすると、複数選択が可能です。

 

また、端末に Cisco Secure Client がインストールされている場合、DNS および Web 通信が内部的にループバックされていますので、その動作も把握するために「Adapter for loopback traffic capture」も選択してください。

 

以下の画像は、2 つのネットワークとループバックを選択した状態になります。

 

tkitahar_5-1746596096476.png

 

この状態で、選択された青い部分を右クリックし、「キャプチャ開始」を選択します。

 

tkitahar_6-1746596111897.png

 

端末で生成された通信のログが画面に記録されていきますので、この状態のまま問題を再現します。この際、再現を行った正確な時刻をメモしておいてください

 

再現を終えたら、画面上部の赤い■をクリックし、パケットキャプチャを停止します。

 

tkitahar_7-1746596132489.png

 

もし、狙い通りにパケットキャプチャを行えなかった場合は、青いアイコンをクリックして、再度パケットを取り直すか、歯車のアイコンをクリックして、ネットワークの選択からやり直してください。

 

tkitahar_8-1746596158070.png

 

パケットキャプチャが問題なく終わったら、画面上部のメニューから「ファイル」>「保存」を選択し、識別しやすい名前を付けて pcapng 形式で保存します。この際、ファイル名に再現を行った時刻を含めておくと、その後の調査に役立ちます。

 

tkitahar_9-1746596173644.png

 

最後に、取得したファイルをサポートエンジニアに提供してください。

ラベル:
Getting Started

検索バーにキーワード、フレーズ、または質問を入力し、お探しのものを見つけましょう

シスコ コミュニティをいち早く使いこなしていただけるよう役立つリンクをまとめました。みなさんのジャーニーがより良いものとなるようお手伝いします

Customers Also Viewed These Support Documents