はじめに

Fortigateでパケットキャプチャする方法として snifferコマンド以外にWebUIから行う方法があります。
WebUIから取得したデータは、pcapファイル形式となっており、そのままWiresharkで開くことができます。
通常この方法で取得すればよいのですが、何らかの理由で snifferコマンドでしかパケットをキャプチャできない場合に、Wiresharkで内容を確認するための方法を紹介します。

snifferコマンドでパケットを取得

まずは、snifferコマンドを使用してパケットをキャプチャします。 この時、Verboseレベルを 3に指定しておく必要があります。

パケットのキャプチャ方法については以下の記事を参照してください。
ただしこの場合、記事で記載している teratermのログ取得時オプションの「タイムスタンプ」にチェックは入れないでください。
pcapファイルへの変換がうまくできなくなります。
shin569.hatenablog.com

変換プログラムの入手

以下のURLの最下部のリンクから「fgt2eth.exe」をダウンロードし、任意のフォルダに保存します。

Troubleshooting Tool: Using the FortiOS built-in packet sniffer

変換プログラムの実行

1. コマンドプロンプトを起動します。

2. プログラムを保存したフォルダに移動します。

3. プログラムを実行します。

fgt2eth.exe -in <input_file_name> -out <output_file_name>

※<output_file_name>の拡張子は、Wiresharkで開ける形式(（ .pcap）にしておきます。

Wiresharkで開く

.pcapファイルがWiresharkと紐づいているなら、ファイルをダブルクリックするとWiresharkが起動しファイルを読み込みます。

参考URL

Knowledge Base: Technical Tip: How to import 'diagnose sniffer packet' data to WireShark