Wireshark Infos Filtre Aide

StackOverflow https://stackoverflow.com/questions/855230

  •  21-08-2019
  •  | 
  •  

Question

Je l'ai regardé sur le net pour un tutoriel sur la façon de filtrer la colonne d'information, mais ne peux pas trouver qui fait sens.

Je veux filtrer tous les journaux où la colonne d'information contient le texte « insitu-ConF » mais ne peux pas savoir comment. Aide s'il vous plaît.

Était-ce utile?

La solution

Vous pouvez réellement pas faire directement. La colonne d'information est décodé en fonction des propriétés du paquet, cependant, et vous pouvez filtrer sur ces qui ont exactement le même effet. La seule différence est que vous devez savoir quelle information Wireshark utilise pour créer cette ligne d'information, qui peut être non-intuitive.

Dans cet exemple, 'insitu-conf' est un alias de port pour le port 1490 (grep insitu-conf / etc / services) et ainsi Wireshark vous dit que c'est un paquet de port distant 51811 au port local 1490. Ainsi , le filtre à caputre ces paquets serait «port dst = 1490.

Dans d'autres cas, il peut y avoir une ligne d'information plus descriptive qui est dérivé de plusieurs propriétés du paquet, y compris le port et certaines des données - par exemple, les requêtes HTTP sur le port 80 auront une ligne d'information qui fait comprend la première ligne de la requête HTTP.

Autres conseils

Vous cherchez des filtres de capture noreferrer"> ou noreferrer filtres d'affichage ? Est-ce "-insitu ConF" un nom d'hôte?

Edit:

On dirait-insitu est le port 1490 conf, donc un filtre simple comme: 

tcp.port == 1490 || udp.port == 1490

devrait faire l'affaire.

Vous pouvez utiliser Microsoft Network Monitor pour faire l'affaire.

Ouvrez votre fichier dans le Moniteur réseau Microsoft.
Faites un clic droit sur un élément dans la colonne Description en choisissez « Ajouter « Description » to Display Filter » dans le menu contextuel.
Le filtre d'affichage est ajouté à la fenêtre de filtre.
Appuyez sur le bouton Appliquer dans la barre d'outils du filtre.

Exemples: 

Description == "HTTP:Request, GET / "
Description.contains("Request")
Description.contains("insitu-conf")

http://www.lovemytool.com/blog/2011/03/microsoft-network-monitor-34-search-the-description-column-by-joke-snelders.html

http.request.uri correspond à "insitu-ConF" devrait également fonctionner.

Licencié sous: CC-BY-SA avec attribution
Non affilié à StackOverflow
scroll top