Wireshark 信息过滤器帮助

Question

我在网上查找了有关如何过滤信息列的教程，但找不到任何有意义的内容。

我想过滤信息列包含文本“insitu-conf”的所有日志，但不知道如何过滤。请帮助。

Answer 1

您却不能直接做到这一点。该信息栏是基于数据包的解码性能，虽然，你可以在这里面会有完全相同的效果进行过滤。唯一的区别是，你必须弄清楚什么信息Wireshark是使用创建信息行，这可能是不直观。

在这个例子中，“就地-conf的”是端口1490的端口别名（grep的原位-CONF / etc / services中）等Wireshark是告诉你，这是从远程端口51811的分组到本地端口1490。因此以caputre那些分组过滤器将是“dst的端口= 1490”。

在其它实例中，可以存在从分组的几个属性，包括端口和一些数据导出的多个描述性信息行 - 例如，在端口80的HTTP请求将具有信息行，实际上包括http请求的第一行。

Answer 2

您是否在寻找捕获过滤或的显示过滤器？是 “原位-conf的” 主机名？

编辑：

看起来像原位-conf的是端口1490，所以一个简单的过滤器，如：

tcp.port == 1490 || udp.port == 1490

应达到目的。

Answer 3

您可以使用 Microsoft 网络监视器来实现这一目的。

在 Microsoft 网络监视器中打开您的文件。
右键单击“描述”列中的项目，然后从上下文菜单中选择“将“描述”添加到显示过滤器”。
显示过滤器已添加到过滤器窗口。
点击过滤器工具栏上的“应用”按钮。

例子：

Description == "HTTP:Request, GET / "
Description.contains("Request")
Description.contains("insitu-conf")

http://www.lovemytool.com/blog/2011/03/microsoft-network-monitor-34-search-the-description-column-by-joke-snelders.html

Answer 4

http.request.uri匹配 “原位-conf的” 也应该工作。