Zagadnienia przechwytywanie filtry Wireshark

Question

Próbuję uruchomić Wireshark z CLI z następujących opcji ...

wireshark -k -i eth2 -a filesize:1000000 -f <capture filter> 

Kwestia mam to, że chcę użyć predefiniowanego filtr wireshark ... kiedy uruchomić powyżej rzeczywistej filtra w CLI cmd to działa, gdy używam predefiniowaną jeden zawiedzie ..

przykład robocza:

wireshark -k -i eth2 -a filesize:1000000 -f "host 40.40.41.42" 

przykład Failure (jeden usiłuję do Zastosowanie):

wireshark -k -i eth2 -a filesize:1000000 -f pre-defined-capture1 

Gdzie filtr wstępnie zdefiniowanej capture1 ma pokazać się w sekcji „Przechwytywanie -> Opcje -> Filtr przechwytywania” listy ...

Błąd pojawia się, że filtr nie jest ważny , Chciałbym określić filtr, który zapisałem na liście filtrów przechwytywania, jeśli to możliwe ...

Jakieś pomysły?

Answer 1

Po wybraniu "Capture -> Capture Filters" dostaniesz okno, w którym możesz definiować, zmieniać i usuwać filtry przechwytywania do przyszłego użytku. W rzeczywistości nie można aktywować filtra przechwytywania.

Jednym z powodów jest to, że niektóre filtry przechwytywania mogą działać na niektórych fizycznych interfejsach, podczas gdy mogą nie działać na innych. Dlatego po uruchomieniu sesji przechwytywania należy aktywować filtr przechwytywania z opcjami przechwytywania.

Przejdź do "Capture -> Options" i użyj przycisku "Capture Filter", aby wybrać predefiniowany filtr przechwytywania. Lub po prostu wpisz odpowiedni filtr w oknie dialogowym.

Jeśli używasz wersji 1.7.0 (lub nowszej), będziesz musiał dwukrotnie kliknąć interfejs, który zamierzasz przechwycić od pierwszego, ponieważ możesz przechwytywać na wielu interfejsach naraz zaczynając od wersji 1.7.0 i możesz ustawić filtr przechwytywania w inny sposób dla każdego interfejsu.

Please feel free to ask the Wireshark Community if you have got any doubts that you require more clarifications.