1. Dom
  2. Pytanie i odpowiedź
  3. Filtr informacji o filtrze Wireshark Pomoc

Filtr informacji o filtrze Wireshark Pomoc

2009-05-12 19 views
7

Rozejrzałem się po internecie, aby uzyskać samouczek, jak filtrować kolumnę z informacjami, ale nie mogę znaleźć żadnego sensu.Filtr informacji o filtrze Wireshark Pomoc

Chcę filtrować wszystkie dzienniki, w których kolumna z informacjami zawiera tekst "insitu-conf", ale nie mogę się dowiedzieć, jak to zrobić. Prosimy o pomoc.

Źródło

2009-05-12 Ozzy

+0

Czy to programowanie powiązane? Pewnie nie wygląda na to. –

+0

Wireshark wykona programowanie sieciowe. –

Odpowiedz

7

Nie możesz tego zrobić bezpośrednio. Kolumna informacyjna jest dekodowana na podstawie właściwości pakietu, ale możesz filtrować na tych, które będą miały dokładnie taki sam efekt. Jedyna różnica polega na tym, że musisz się dowiedzieć, jakiego info wireshark używa do utworzenia tego wiersza informacyjnego, co może być nieintuicyjne.

W tym przykładzie "insitu-conf" jest aliasem portu dla portu 1490 (grep insitu-conf/etc/services), więc wireshark mówi ci, że jest to pakiet ze zdalnego portu 51811 do lokalnego portu 1490. W związku z tym filtrem do opanowania tych pakietów będzie "dst port = 1490".

W innych przypadkach może istnieć bardziej opisowy wiersz informacyjny, który wywodzi się z kilku właściwości pakietu, w tym portu i niektórych danych - na przykład, żądania HTTP na porcie 80 będą miały wiersz informacyjny, który faktycznie obejmuje pierwszy wiersz żądania http.

Źródło

2009-05-12 22:56:14

+0

To jest, co bym poszedł na –

+0

wyjaśnił to doskonale dla mnie ty – Ozzy

+4

Czy jest to przykład złego projektu aplikacji? Mam na myśli, że dane już tam są, w komórkach widoków drzewa ... Czy nie byłoby fajnie mieć dwa rodzaje filtrów? jedna z protokołów i jedna z komórek widoku drzewa? – ychaouche

0

Szukasz capture filters lub display filters? Czy "insitu-conf" to nazwa hosta?

Edit:

Wygląda INSITU-conf jest to port 1490, tak jak prosty filtr:

tcp.port == 1490 || udp.port == 1490

powinno załatwić sprawę.

Źródło

2009-05-12 22:47:20

+0

dobrze w kolumnie informacyjnej wygląda tak: 51811> insitu-conf [ACK] Seq = 5 i tak dalej ... – Ozzy

+0

to pomogło mi również dużo, ale pierwszy post objaśniono bardziej szczegółowo. to dlatego dałem mu odpowiedź, dziękuję – Ozzy

0

http.request.uri mecze "insitu-conf" również powinny działać.

Źródło

2010-06-01 18:32:34 Steve

0

Możesz użyć Monitora sieci Microsoft, aby zrobić lewę.

Otwórz plik w Microsoft Network Monitor.
Kliknij prawym przyciskiem myszy pozycję w kolumnie Opis i wybierz "Dodaj" Opis "do filtru wyświetlania" z menu kontekstowego.
Filtr wyświetlania zostanie dodany do okna filtru.
Naciśnij przycisk Zastosuj na pasku narzędzi filtra.

Przykłady:

Description == "HTTP:Request, GET/" 
Description.contains("Request") 
Description.contains("insitu-conf")

http://www.lovemytool.com/blog/2011/03/microsoft-network-monitor-34-search-the-description-column-by-joke-snelders.html

Źródło

2011-03-10 14:45:44 joke

Powiązane problemy

 Powiązane problemy