Wireshark Info Filterヘルプ

Question

私は、情報列をフィルタリングする方法についてのチュートリアルをネット上で見てきましたが、それは理にかなっています。

info欄に「insitu-conf」というテキストが含まれていても、どのようにしてどのようにログをフィルタリングしたいのですか？助けてください。

Answer 1

実際これを直接行うことはできません。ただし、info列はパケットのプロパティに基づいてデコードされます。これらをフィルタリングすると、まったく同じ効果が得られます。唯一の違いは、wiresharkがその情報ラインを作成するためにどの情報を使用しているかを把握しなければならないことです。直感的ではありません。

この例では、 'insitu-conf'はポート1490（grep insitu-conf/etc/services）のポートエイリアスであるため、wiresharkはこれがリモートポート51811からローカルポート1490へのパケットであることを示しています。したがって、これらのパケットをキャプチャするフィルタは 'dst port = 1490'になります。

その他の場合、ポートの一部のデータなど、パケットのいくつかのプロパティから導出されるより詳細な情報行が存在する場合があります。たとえば、ポート80のHTTP要求には、実際には、http要求の最初の行が含まれています。

Answer 2

capture filtersまたはdisplay filtersをお探しですか？ "insitu-conf"はホスト名ですか？

編集：

tcp.port == 1490 || udp.port == 1490 

はトリックを行う必要があります。

が現場-confのように見える

はそう単純なフィルタのように、1490ポートです。

Answer 3

http.request.uriと一致する「insitu-conf」も有効です。

Answer 4

Microsoftネットワークモニタを使用して、このトリックを行うことができます。

Microsoftネットワークモニタでファイルを開きます。
[説明]列の項目を右クリックし、コンテキストメニューから[フィルタを表示するために説明を追加]を選択します。
表示フィルタがフィルタウィンドウに追加されました。
フィルタツールバーの[適用]ボタンを押します。

例：

Description == "HTTP:Request, GET/" 
Description.contains("Request") 
Description.contains("insitu-conf") 

http://www.lovemytool.com/blog/2011/03/microsoft-network-monitor-34-search-the-description-column-by-joke-snelders.html