Справка по информационному фильтру Wireshark

StackOverflow https://stackoverflow.com/questions/855230

  •  21-08-2019
  •  | 
  •  

Вопрос

Я просмотрел по всей сети руководство о том, как фильтровать информационный столбец, но не могу найти ничего, что имело бы смысл.

Я хочу отфильтровать все журналы, где столбец info содержит текст "insitu-conf", но не могу выяснить, как это сделать.Помогите, пожалуйста.

Это было полезно?

Решение

На самом деле вы не можете сделать это напрямую.Однако столбец info декодируется на основе свойств пакета, и вы можете отфильтровать их, что будет иметь точно такой же эффект.Единственное отличие заключается в том, что вам нужно выяснить, какую информацию wireshark использует для создания этой информационной строки, которая может быть неинтуитивной.

В этом примере 'insitu-conf' является псевдонимом порта для порта 1490 (grep insitu-conf /etc / services), и поэтому wireshark сообщает вам, что это пакет с удаленного порта 51811 на локальный порт 1490.Таким образом, фильтром для ограничения этих пакетов будет 'порт dst=1490'.

В других случаях может существовать более описательная информационная строка, которая является производной от нескольких свойств пакета, включая порт и некоторые данные - например, http-запросы на порт 80 будут иметь информационную строку, которая фактически включает первую строку http-запроса.

Другие советы

Вы ищете фильтры захвата или фильтры отображения?Является ли "insitu-conf" именем хоста?

Редактировать:

Похоже, что insitu-conf - это порт 1490, поэтому простой фильтр, такой как:

tcp.port == 1490 || udp.port == 1490

Должно сработать.

Для достижения этой цели вы можете использовать Microsoft Network Monitor.

Откройте ваш файл в Microsoft Network Monitor.
Щелкните правой кнопкой мыши по элементу в столбце "Описание" и выберите "Добавить "Описание" для отображения фильтра" из контекстного меню.
Фильтр отображения добавляется в окно Фильтра.
Нажмите кнопку Применить на панели инструментов фильтра.

Примеры:

Description == "HTTP:Request, GET / "
Description.contains("Request")
Description.contains("insitu-conf")

http://www.lovemytool.com/blog/2011/03/microsoft-network-monitor-34-search-the-description-column-by-joke-snelders.html

http.request.uri совпадения "insitu-conf" также должны работать.

Лицензировано под: CC-BY-SA с атрибуция
Не связан с StackOverflow
scroll top