<필요한 데이터>

참고 벤더 링크: Information required when opening a support case for BIG-IP LTM, AFM, DNS, Link Controller, and PEM (f5.com)

1. Qkview

2. All log file

3. Core file (생성 시)

4. Tcpdump (네트워크 장애 시)

5. ssldump (https vs 관련 이슈 시 -  ssl 설정 유)


1. qkview 파일 수집 : size 0옵션으로 인해 SSH 권장

1. SSH 수집 방법 ssh 접속 후 linux 명령창에서 실행

  nice -n 19   qkview -s0 -f /var/tmp/`/bin/hostname`_`date +"%y%m%d-%H%M%S"`.qkview

  이 후 winscp 를 이용 PC로 다운로드


2. GUI 수집방법 : System > Support

2. All log file 수집 (SSH만 가능)

SSH 수집 방법 ssh 접속 후 linux 명령창에서 실행

 nice -n 19 tar -zcvf /var/tmp/`/bin/hostname`_varlog_`date +"%y%m%d-%H%M%S"`.tar.gz /var/log/

이 후 winscp 를 이용 PC로 다운로드 


3. Core file 수집 (SSH만 가능)


SSH 수집 방법 ssh 접속 후 linux 명령창에서 실행

1. cd /var/core

2. MD5 체크섬 파일 생성 :

 md5sum /var/core/<name-of-core-file> > /var/core/<name-of-core-file>.md5

3. var/tmp/경로로 파일 이동:

 mv /var/core/<name-of-core-file>* /var/tmp

4. winscp tool 을 이용해서 파일 Local에 저장 (corefile 과 md5파일을 저장)

 - 주의 사항 MD5 파일을 같이 Case open 에 제출 하지 않으면 Core file 을 인정 하지 않는 상황이 발생될 수 있음


4. tcpdump 수집(SSH만 가능)

CMD >> tcpdump -nei 0.0:nnnp host 10.10.10.10 and port 80 -Xs 0 -s 0 -nn -w /var/tmp/filename.pcap ( 모든 Interface 통신 (mgmt제외 ) )

CMD >> tcpdump -nei vlan10:nnnp host 10.10.10.10 and port 80 -Xs 0 -s 0 -nn -w /var/tmp/filename.pcap ( vlan10 통신 )

CMD >> tcpdump -nei 1.0:nnnp host 10.10.10.10 and port 80 -Xs 0 -s 0 -nn -w /var/tmp/filename.pcap ( 1.0 Interface 통신 )

CMD >> tcpdump -nei eth0 host 10.10.10.10 and port 80 -Xs 0 -s 0 -nn -w /var/tmp/filename.pcap   ( mgmt 통신 


5. ssldump 수집 (https 트래픽을 복호화 시키는 기능 virtual server에 ssl profile이 적용 되었을 때 가능)


1) Irule 생성 name SSL_Master (Local Traffic  ››  iRules : iRule List  ››   create)


when CLIENTSSL_HANDSHAKE {

log local0. "TCP source port client_side: [TCP::remote_port]"

log local0. "RSA Session-ID:[SSL::sessionid] Master-Key:[SSL::sessionsecret]"

}

when SERVERSSL_HANDSHAKE {

log local0. "TCP source port serv_side: [TCP::local_port]"

log local0. "RSA Session-ID:[SSL::sessionid] Master-Key:[SSL::sessionsecret]"

}

Server side ssl profile이 없다면 빨간색 구문은 생략


2) 생성한 irule Virtual server에 적용 (Local Traffic  ››   Virtual Servers : Virtual Server List   ››  [vs_name])

Resource tap에서 아래와 같이 적용


3) 적용 한 후 tcpdump 명령어를 통해 패킷 수집


4) 재현 테스트 종료후 tcpdump를 종료하고 아래 커맨드를 linux 창에서 실행

grep Session-ID /var/log/ltm | sed 's/.*\(RSA.*\)/\1/' > /var/tmp/tcpdumpname.pms


5) WINSCP를 이용하여 tcpdump 패킷과 pms 파일을 다운로드


6) 와이어샤크에서 Pcap파일 open 후 Edit >> Preferences >> protocols >> TLS 이동   

https 트래픽에 대해 복호화 완료되어 내용이 잘 보이는지 확인