Справка по информационному фильтру Wireshark
Вопрос
Я просмотрел по всей сети руководство о том, как фильтровать информационный столбец, но не могу найти ничего, что имело бы смысл.
Я хочу отфильтровать все журналы, где столбец info содержит текст "insitu-conf", но не могу выяснить, как это сделать.Помогите, пожалуйста.
Решение
На самом деле вы не можете сделать это напрямую.Однако столбец info декодируется на основе свойств пакета, и вы можете отфильтровать их, что будет иметь точно такой же эффект.Единственное отличие заключается в том, что вам нужно выяснить, какую информацию wireshark использует для создания этой информационной строки, которая может быть неинтуитивной.
В этом примере 'insitu-conf' является псевдонимом порта для порта 1490 (grep insitu-conf /etc / services), и поэтому wireshark сообщает вам, что это пакет с удаленного порта 51811 на локальный порт 1490.Таким образом, фильтром для ограничения этих пакетов будет 'порт dst=1490'.
В других случаях может существовать более описательная информационная строка, которая является производной от нескольких свойств пакета, включая порт и некоторые данные - например, http-запросы на порт 80 будут иметь информационную строку, которая фактически включает первую строку http-запроса.
Другие советы
Вы ищете фильтры захвата или фильтры отображения?Является ли "insitu-conf" именем хоста?
Редактировать:
Похоже, что insitu-conf - это порт 1490, поэтому простой фильтр, такой как:
tcp.port == 1490 || udp.port == 1490
Должно сработать.
Для достижения этой цели вы можете использовать Microsoft Network Monitor.
Откройте ваш файл в Microsoft Network Monitor.
Щелкните правой кнопкой мыши по элементу в столбце "Описание" и выберите "Добавить "Описание" для отображения фильтра" из контекстного меню.
Фильтр отображения добавляется в окно Фильтра.
Нажмите кнопку Применить на панели инструментов фильтра.
Примеры:
Description == "HTTP:Request, GET / "
Description.contains("Request")
Description.contains("insitu-conf")
http.request.uri
совпадения "insitu-conf" также должны работать.