これは、Ubuntu Online、Fedora Online、Windowsオンラインエミュレーター、MACOSオンラインエミュレーターなどの複数の無料オンラインワークステーションのXNUMXつを使用してOnWorks無料ホスティングプロバイダーで実行できるコマンドtsharkです。
プログラム:
NAME
tshark-ネットワークトラフィックをダンプして分析する
SYNOPSIS
タシュク [ -2 ] [ -a ]..。
[ -b ] ... [ -B ]
[ -c ] [ -C ]
[ -d == 、 ] [ -D ] [ -e ]
[ -E ][ -f ] [ -F ][ -g ] [ -h ]
[ -H ][ -i |-] [ -I ] [ -K ] [ -l ]
[ -L ] [ -n ] [ -N ] [ -o ]..。
[ -O ][ -p ] [ -P ] [ -q ] [ -Q ] [ -r ][ -R ]
[ -s ] [ -S ][ -t a|ad|adoy|d|dd|e|r|u|ud|udoy]
[ -T フィールド|pdml|ps|psml|テキスト] [ -u ][ -v ] [ -V ] [ -w |-]
[ -W ][ -x ] [ -X ][ -y ]
[ -Y ] [ -z ][ --キャプチャーコメント ]
[ ]
タシュク -G [ ]
DESCRIPTION
Tシャーク ネットワークプロトコルアナライザです。 ライブからパケットデータをキャプチャできます
ネットワーク、または以前に保存されたキャプチャファイルからパケットを読み取り、デコードされたものを印刷します
これらのパケットの形式を標準出力に送信するか、パケットをファイルに書き込みます。 Tシャーク's
ネイティブ キャプチャ ファイル形式は pcap formatは、によって使用される形式でもあります tcpdump と
他のさまざまなツール。
オプションを設定しないと、 Tシャーク のように動作します tcpdump。 pcapライブラリを使用します
最初に利用可能なネットワークインターフェイスからトラフィックをキャプチャし、要約行を表示します
受信した各パケットの標準出力。
Tシャーク によってサポートされているのと同じキャプチャファイルを検出、読み取り、書き込みできます
Wiresharkの。 入力ファイルには特定のファイル名拡張子は必要ありません。 ファイル形式と
オプションのgzip圧縮が自動的に検出されます。 の始まり近く
の説明セクション wireshark(1)または
の詳細な説明です
方法 Wiresharkの これを処理します。これは同じ方法です ツシャーク これを処理します。
圧縮ファイルのサポートでは、zlibライブラリを使用します(したがって、これが必要です)。 zlibの場合
ライブラリが存在しません、 Tシャーク コンパイルされますが、圧縮ファイルを読み取ることができなくなります。
Status -w オプションが指定されていません、 Tシャーク 標準出力にテキストを書き込みます
キャプチャまたは読み取るパケットのデコードされた形式。 の場合 -w オプションが指定されている、 Tシャーク
そのオプションで指定されたファイルに、パケットの生データと
パケットのタイムスタンプ。
デコードされた形式のパケットを書き込む場合、 Tシャーク デフォルトでは、要約行を書き込みます
設定ファイルで指定されたフィールド(フィールドでもある)を含む
のパケットリストペインに表示されます Wiresharkの)、ただし、パケットをそのまま書き込んでいる場合
保存されたキャプチャファイルからパケットを書き込むのではなく、それらをキャプチャします。
「フレーム番号」フィールド。 の場合 -V オプションが指定されている場合、代わりにビューを書き込みます
パケットの詳細。パケット内のすべてのプロトコルのすべてのフィールドが表示されます。 の場合 -O
オプションが指定されている場合、指定された完全なプロトコルのみが表示されます。 の出力を使用します
"タシュク -G プロトコル"指定できるプロトコルの略語を検索します。
デコードされた形式のパケットをファイルに書き込む場合は、次のコマンドを実行します。 Tシャーク なしで -w
オプションを選択し、その標準出力をファイルにリダイレクトします( 使用 -w オプション)。
ファイルにパケットを書き込む場合、 Tシャーク、デフォルトでは、ファイルをに書き込みます pcap フォーマット、および
検出したすべてのパケットを出力ファイルに書き込みます。 The -F オプションを使用して
ファイルを書き込む形式を指定します。 利用可能なファイル形式のリストは次のとおりです。
によって表示されます -F 値のないフラグ。 ただし、ファイル形式を指定することはできません
ライブキャプチャ。
でフィルターを読み取る Tシャーク、デコードするパケットを選択できます。
ファイルに書き込まれると、非常に強力です。 より多くのフィールドがフィルタリング可能 Tシャーク 他より
プロトコルアナライザー、およびフィルターの作成に使用できる構文はより豊富です。 として
Tシャーク 進行し、読み取りフィルターで許可されるプロトコルフィールドが増えることを期待します。
パケットキャプチャは、pcapライブラリを使用して実行されます。 キャプチャフィルターの構文は次のとおりです
pcapライブラリのルール。 この構文は、読み取りフィルターの構文とは異なります。 A
読み取りフィルターは、キャプチャ時に指定することもでき、読み取りを通過するパケットのみを指定できます。
フィルタが表示されるか、出力ファイルに保存されます。 ただし、キャプチャフィルタに注意してください
読み取りフィルターよりもはるかに効率的ですが、より困難な場合があります。 Tシャーク 維持する
ライブキャプチャに読み取りフィルタが指定されている場合は、ネットワークがビジー状態になります。
キャプチャまたは読み取りフィルターは、 -f or -R それぞれ、オプション、
この場合、フィルター式全体を単一の引数として指定する必要があります(
スペースが含まれている場合は引用符で囲む必要があることを意味します)、またはコマンドで指定できます-
オプション引数の後の行引数。この場合、後のすべての引数
フィルタ引数は、フィルタ式として扱われます。 キャプチャフィルターのみがサポートされています
ライブ キャプチャを行う場合。 読み取りフィルターは、ライブ キャプチャを実行しているときにサポートされます。
キャプチャファイルを読み取りますが、フィルタリング時にTSharkがより多くの作業を行う必要があるため、次のようになる可能性があります。
読み取りフィルターを使用している場合、高負荷でパケットが失われる可能性が高くなります。 フィルターの場合
オプション引数の後にコマンドライン引数で指定されている場合、これはキャプチャ フィルターです。
キャプチャが行われている場合(つまり、 -r オプションが指定された)および読み取りフィルター(
キャプチャファイルが読み取られています(つまり、 -r オプションが指定されました)。
この -G オプションは、単に原因となる特別なモードです ツシャーク いくつかのタイプのうちのXNUMXつをダンプする
内部用語集を表示してから終了します。
OPTIONS
-2パス分析を実行します。 これにより、tsharkは全体が出力されるまで出力をバッファリングします
最初のパスは実行されますが、将来の知識が必要なフィールドに入力できます。
「フレーム番号の応答」フィールドなど。 また、再構築フレームの依存関係を許可します
正しく計算されました。
-a
いつ指定する基準を指定する Tシャーク キャプチャファイルへの書き込みを停止することです。
基準は次の形式です test:値ここで、 test の一つであります:
デュレーション:値 後でキャプチャファイルへの書き込みを停止します 値 秒が経過しました。
ファイルサイズ:値 サイズがに達したら、キャプチャファイルへの書き込みを停止します。 値 kB。 もしも
このオプションは -b オプションと一緒に使用されます。 Tシャーク への書き込みを停止します
現在のキャプチャファイルで、ファイルサイズに達した場合は次のファイルに切り替えます。 読むとき
キャプチャファイル、 Tシャーク 読み取られたバイト数の後にファイルの読み取りを停止します
この数を超えています(完全なパケットが読み取られるため、この数よりも多くのバイト
読むことができます)。 ファイルサイズは最大値2GiBに制限されていることに注意してください。
ファイル:値 後にファイルをキャプチャするための書き込みを停止します 値 書き込まれたファイルの数。
-NS
原因となる Tシャーク 「複数ファイル」モードで実行します。 「複数ファイル」モードでは、 Tシャーク 意志
複数のキャプチャファイルに書き込みます。 最初のキャプチャファイルがいっぱいになると、 Tシャーク 意志
次のファイルへの書き込みを切り替えます。
作成されるファイル名は、 -w オプション、番号
ファイルの作成日時(例:outfile_00001_20050604120117.pcap)
outfile_00002_20050604120523.pcap、..。
ファイル オプションで、「リングバッファ」を形成することもできます。 これはいっぱいになります
指定されたファイル数までの新しいファイル、その時点で Tシャーク を破棄します
最初のファイルのデータを入力し、そのファイルへの書き込みを開始します。 の場合 ファイル オプション
が設定されていない場合、キャプチャ停止条件のXNUMXつが一致するまで(または
ディスクがいっぱいになるまで)。
基準は次の形式です キー:値ここで、 キー の一つであります:
デュレーション:値 後に次のファイルに切り替えます 値 たとえ
現在のファイルが完全にいっぱいになっていません。
ファイルサイズ:値 次のファイルのサイズに達した後、次のファイルに切り替えます 値 kB。 ご了承ください
ファイルサイズは最大値2GiBに制限されています。
ファイル:値 後の最初のファイルからやり直してください 値 書き込まれたファイルの数
(リングバッファを形成します)。 この値は100000未満である必要があります。注意が必要です
多数のファイルを使用する場合:一部のファイルシステムは、
単一のディレクトリも。 The ファイル 基準には次のいずれかが必要です デュレーション or ファイルサイズ ようにするには
次のファイルにいつ移動するかを制御するために指定されます。 それぞれが注意する必要があります -b
パラメータは正確にXNUMXつの基準を取ります。 XNUMXつの基準を指定するには、それぞれの前に置く必要があります
を通じて、タンピングされたコーヒーベッドの上から均一にフィルターバスケットの内の粉に浸透していきます。 -b オプションを選択します。
例: -b ファイルサイズ:1000 -b ファイル:5 サイズのXNUMXつのファイルのリングバッファになります
それぞれXNUMXメガバイト。
-B
キャプチャバッファサイズを設定します(MiBでは、デフォルトは2 MiBです)。 これはキャプチャによって使用されます
データがディスクに書き込めるまでパケットデータをバッファリングするドライバ。 遭遇した場合
キャプチャ中にパケットがドロップする場合は、このサイズを大きくしてみてください。 注意してください、 ツシャーク
デフォルトでバッファサイズを2MiBに設定しようとし、設定するように指示できます。
値が大きいと、キャプチャしているシステムまたはインターフェイスが黙って制限する可能性があります
キャプチャバッファサイズを低い値に設定するか、高い値に上げます。
これは、libpcap1.0.0以降を搭載したUNIXシステムおよびWindowsで使用できます。 です
以前のバージョンのlibpcapを使用するUNIXシステムでは使用できません。
このオプションは複数回発生する可能性があります。 の最初の発生前に使用された場合 -i
オプションの場合、デフォルトのキャプチャバッファサイズを設定します。 後に使用する場合 -i オプション、それは設定します
最後に指定されたインターフェイスのキャプチャバッファサイズ -i オプションが発生します
このオプションの前。 キャプチャバッファサイズが特に設定されていない場合、デフォルト
代わりに、キャプチャバッファサイズが使用されます。
-c
ライブデータをキャプチャするときに読み取るパケットの最大数を設定します。 読んでいる場合
ファイルをキャプチャし、読み取るパケットの最大数を設定します。
-C
指定された構成プロファイルで実行します。
-d == 、
Wiresharkのように デコード 高値.. 機能、これにより、レイヤータイプの方法を指定できます
解剖されます。 問題のレイヤータイプの場合(たとえば、 tcp.ポート or udp.ポート のために
TCPまたはUDPポート番号)に指定されたセレクター値があり、パケットを分析する必要があります
指定されたプロトコルとして。
例: -d tcp.port == 8888、http TCPポート8888で実行されているトラフィックを次のようにデコードします
HTTP。
例: -d tcp.port == 8888:3、http TCPポート8888を介して実行されているトラフィックをデコードします。
HTTPとして8889または8890。
例: -d tcp.port==8888-8890,http TCPポートを介して実行されているすべてのトラフィックをデコードします
HTTP として 8888、8889、または 8890。
無効なセレクターまたはプロトコルを使用すると、有効なセレクターのリストが出力され、
それぞれプロトコル名。
例: -d . 有効なセレクターのリストを取得する簡単な方法です。
例: -d イーサタイプ==0x0800。 できるプロトコルのリストを取得する簡単な方法です
イーサタイプで選択。
-Dインターフェイスのリストを印刷します Tシャーク キャプチャして終了できます。 それぞれについて
ネットワークインターフェイス、番号、インターフェイス名、場合によってはテキストが続く
インターフェイスの説明が印刷されます。 インターフェイス名または番号は次のようになります。
に供給 -i キャプチャするインターフェイスを指定するオプション。
これは、それらを一覧表示するコマンドがないシステム(Windowsなど)で役立ちます。
システム、またはUNIXシステムが不足している ifconfig -a); この番号はWindowsで役立ちます
2000以降のシステム。インターフェイス名はやや複雑な文字列です。
「キャプチャできる」とは、 Tシャーク そのデバイスを開いてライブを行うことができました
捕獲。 システムによっては、次のアカウントからtsharkを実行する必要がある場合があります。
ネットワークトラフィックをキャプチャできるようにするための特別な特権(たとえば、rootとして)。 もしも
Tシャーク -D そのようなアカウントから実行されていない場合、インターフェイスは一覧表示されません。
-e
表示するフィールドのリストにフィールドを追加します。 -T フィールド が選択されています。 このオプション
コマンドラインで複数回使用できます。 少なくともXNUMXつのフィールドを指定する必要があります
もし -T フィールド オプションが選択されています。 列名には、「_ws.col」というプレフィックスを付けて使用できます。
例: -e フレーム番号 -e ip.アドレス -e UDP -e _ws.col.情報
単一のフィールドではなくプロトコルを指定すると、
単一フィールドとしてのプロトコル。 デフォルトでは、フィールドはタブ文字で区切られています。
-E 印刷フィールドの形式を制御します。
-E
次の場合にフィールドの印刷を制御するオプションを設定します -T フィールド 選択されています。
オプションは次のとおりです。
ヘッダー=y|n If y、を使用して指定されたフィールド名のリストを印刷します -e の最初の行として
出力; フィールド名は、フィールドと同じ文字を使用して区切られます
値。 デフォルトは n.
セパレータ=/t | / s |フィールドに使用する区切り文字を設定します。 もしも /t タブ
次の場合に使用されます(これがデフォルトです) /s、単一のスペースが使用されます。 それ以外の場合
オプションの一部としてコマンドラインで受け入れられる文字を使用できます。
オカレンス=f|l|a 複数のフィールドに使用するオカレンスを選択します
発生。 もしも f 次の場合、最初のオカレンスが使用されます l 最後の発生は
使用されている場合 a すべてのオカレンスが使用されます (これがデフォルトです)。
aggregator =、| / s |次のフィールドに使用するアグリゲーター文字を設定します
複数回発生。 もしも , 次の場合は、コンマが使用されます(これがデフォルトです)。 /s
シングルスペースが使用されます。 それ以外の場合、
オプションの一部としてコマンドラインを使用できます。
quote = d | s | n フィールドを囲むために使用する引用符を設定します。 d 二重引用符を使用し、
s 一重引用符、 n 引用符なし(デフォルト)。
-f
キャプチャフィルター式を設定します。
このオプションは複数回発生する可能性があります。 の最初の発生前に使用された場合 -i
オプションの場合、デフォルトのキャプチャフィルター式を設定します。 後に使用する場合 -i オプション、それ
最後に指定されたインターフェイスのキャプチャフィルタ式を設定します -i オプション
このオプションの前に発生します。 キャプチャフィルター式が設定されていない場合
具体的には、デフォルトのキャプチャフィルタ式が提供されている場合に使用されます。
-NS
を使用して書き込まれた出力キャプチャファイルのファイル形式を設定します -w オプション。 ザ·
で書かれた出力 -w オプションはテキストではなく生のパケットデータであるため、 -F
テキスト出力を要求するオプション。 オプション -F 値がない場合は、利用可能なものが一覧表示されます
フォーマット。
-gこのオプションを使用すると、出力ファイルがグループ読み取り権限で作成されます。
(出力ファイルは、呼び出し元のユーザーの他のメンバーが読み取ることができることを意味します
グループ)。
-G [ ]
この -G オプションが発生します ツシャーク 数種類の用語集の XNUMX つをダンプしてから
出口。 特定の用語集タイプが指定されていない場合は、 フィールド レポートは
デフォルトで生成されます。
使用可能なレポートタイプは次のとおりです。
列形式 tsharkが理解できる列形式をダンプします。 ごとにXNUMXつのレコードがあります
ライン。 フィールドはタブ区切りです。
* フィールド 1 = フォーマット文字列 (例: "%rD")
*フィールド2=フォーマット文字列のテキスト説明(例:「宛先ポート(解決済み)」)
現在の設定 現在の設定ファイルのコピーをstdoutにダンプします。
デコード 「レイヤータイプ」/「デコード」の関連付けをstdoutにダンプします。 ここに一つ
XNUMX行あたりのレコード。 フィールドはタブ区切りです。
*フィールド1=レイヤータイプ、例:「tcp.port」
*フィールド2=XNUMX進数のセレクター
*フィールド3="decode as" name、例: "http"
デフォルト設定 デフォルトの設定ファイルをstdoutにダンプします。
解剖台 ディセクタテーブルのリストをstdoutにダンプします。 ごとにXNUMXつのレコードがあります
ライン。 フィールドはタブ区切りです。
*フィールド1=ディセクタテーブル名、例:「tcp.port」
* フィールド 2 = GUI でディセクタ テーブルに使用される名前
* フィールド 3 = タイプ (ftenum タイプのテキスト表現)
*フィールド4=表示のベース(整数型の場合)
フィールド数 ヘッダーフィールドの数をstdoutにダンプします。
フィールド 登録データベースの内容をstdoutにダンプします。 独立した
プログラムはこの出力を受け取り、それを素敵なテーブルやHTMLなどにフォーマットできます。
XNUMX行にXNUMXつのレコードがあります。 各レコードは、プロトコルまたはヘッダーフィールドのいずれかです。
最初のフィールドで区別されます。 フィールドはタブ区切りです。
*プロトコル
* ----------
*フィールド1='P'
*フィールド2=説明的なプロトコル名
* フィールド 3 = プロトコルの略語
*
*ヘッダーフィールド
* -------------
* フィールド 1 = 'F'
*フィールド2=説明的なフィールド名
*フィールド3=フィールドの省略形
* フィールド 4 = タイプ (ftenum タイプのテキスト表現)
*フィールド5=親プロトコルの略語
*フィールド6=表示のベース(整数型の場合)。 FT_BOOLEANの「親ビットフィールド幅」
*フィールド7=ビットマスク:フォーマット:0進数:XNUMXx...。
*フィールド8=フィールドを説明する宣伝文
ftype tsharkが理解する「ftypes」(基本タイプ)をダンプします。 ここに一つ
XNUMX行あたりのレコード。 フィールドはタブ区切りです。
*フィールド1=FTYPE(例: "FT_IPv6")
*フィールド2=タイプのテキスト説明(例:「IPv6アドレス」)
ヒューリスティック-デコード 現在インストールされているヒューリスティックデコードをダンプします。 ここに一つ
XNUMX行あたりのレコード。 フィールドはタブ区切りです。
*フィールド1=基になるディセクタ(「tcp」など)
*フィールド2=ヒューリスティックデコーダーの名前(例:ucp ")
*フィールド3=ヒューリスティックが有効(例:「T」または「F」)
プラグイン 現在インストールされているプラグインをダンプします。 XNUMX行にXNUMXつのレコードがあります。 The
フィールドはタブ区切りです。
*フィールド1=プラグインライブラリ(例: "gryphon.so")
*フィールド2=プラグインバージョン(例:0.0.4)
*フィールド3=プラグインタイプ(例:「dissector」または「tap」)
*フィールド4=プラグインファイルへのフルパス
プロトコル 登録データベースのプロトコルをstdoutにダンプします。 独立した
プログラムはこの出力を受け取り、それを素敵なテーブルやHTMLなどにフォーマットできます。
XNUMX行にXNUMXつのレコードがあります。 フィールドはタブ区切りです。
*フィールド1=プロトコル名
*フィールド2=プロトコルの短縮名
*フィールド3=プロトコルフィルター名
値 value_strings、range_strings、またはtrue/false文字列を次のフィールドにダンプします。
それらを持っています。 XNUMX 行に XNUMX つのレコードがあります。 フィールドはタブ区切りです。 XNUMXつあります
レコードのタイプ:値文字列、範囲文字列、およびTrue/False文字列。 最初のフィールド、
「V」、「R」、または「T」は、レコードのタイプを示します。
* 値の文字列
* -------------
*フィールド1='V'
*フィールド2=この値の文字列が対応するフィールドの省略形
*フィールド3=整数値
*フィールド4=文字列
*
*範囲文字列
* -------------
*フィールド1='R'
*フィールド2=この範囲文字列が対応するフィールドの省略形
* フィールド 3 = 整数値: 下限
*フィールド4=整数値:上限
*フィールド5=文字列
*
* True/False文字列
* ------------------
*フィールド1='T'
*フィールド2=このtrue/false文字列が対応するフィールドの省略形
*フィールド3=真の文字列
*フィールド4=False文字列
-hバージョンとオプションを出力して終了します。
-H
「hosts」ファイルからエントリのリストを読み取り、キャプチャに書き込みます。
ファイル。 示す -W n。 複数回呼び出すことができます。
「hosts」ファイル形式は、次の場所に記載されています。http://en.wikipedia.org/wiki/Hosts_(ファイル)>。
-私| -
ライブパケットキャプチャに使用するネットワークインターフェイスまたはパイプの名前を設定します。
ネットワークインターフェイス名は、「タシュク -D" (説明された
その上); 「によって報告された数タシュク -D"、も使用できます。UNIX を使用している場合は、
"netstat -i"または"ifconfig -a" インターフェイス名を一覧表示することもできますが、そうではありません
UNIXのすべてのバージョンは、 -a オプション ifconfig.
インターフェイスが指定されていない場合、 Tシャーク インターフェイスのリストを検索し、
非ループバックインターフェイスがある場合は最初の非ループバックインターフェイス、および
非ループバックインターフェイスがない場合は、最初のループバックインターフェイス。 ない場合
インターフェース、 Tシャーク エラーを報告し、キャプチャを開始しません。
パイプ名は、FIFO(名前付きパイプ)の名前か、データを読み取るための「-」のいずれかである必要があります
標準入力。 パイプから読み取られるデータは、標準のpcap形式である必要があります。
このオプションは複数回発生する可能性があります。 複数のインターフェースからキャプチャする場合、
キャプチャファイルはpcap-ng形式で保存されます。
注:Win32バージョンの Tシャーク パイプからのキャプチャはサポートしていません!
-インターフェイスを「監視モード」にします。 これはIEEE802.11Wi-Fiでのみサポートされます
インターフェイスであり、一部のオペレーティングシステムでのみサポートされます。
モニターモードでは、アダプターがネットワークとの関連付けを解除する場合があることに注意してください。
関連付けられているため、ワイヤレスネットワークを使用できなくなります
アダプタ。 これにより、ネットワークサーバー上のファイルにアクセスしたり、ホストを解決したりできなくなる可能性があります
モニターモードでキャプチャしていて接続されていない場合は、名前またはネットワークアドレス
別のアダプタを使用して別のネットワークに接続します。
このオプションは複数回発生する可能性があります。 の最初の発生前に使用された場合 -i
オプションの場合、すべてのインターフェースのモニターモードを有効にします。 後に使用する場合 -i オプション、
最後に指定されたインターフェイスのモニターモードを有効にします -i オプション
このオプションの前に発生します。
-K
指定されたkeytabファイルからKerberos暗号化キーをロードします。 このオプションを使用できます
複数のファイルからキーをロードするために複数回。
例: -K krb5.keytab
-l各パケットの情報が印刷された後、標準出力をフラッシュします。 (これは
厳密に言えば、行バッファリングされていない場合 -V 指定されました。 ただし、それはと同じです
行バッファリングされた場合 -V パケットごとにXNUMX行しか印刷されないため、指定されませんでした。
そして、 -l 通常、ライブキャプチャをプログラムまたはスクリプトにパイプするときに使用されます。
パケットの出力は、パケットが表示されて分析されるとすぐに表示されます。
真のラインバッファリングと同じように機能します。 欠陥の回避策としてこれを行います
Microsoft Visual C ++ Cライブラリにあります。)
これは、の出力を配管するときに役立つ場合があります Tシャーク それが意味するように、別のプログラムに
出力がパイプされるプログラムは、パケットの分析されたデータを参照します。
できるだけ早く Tシャーク パケットを見るのではなく、パケットを見てその出力を生成します
そのデータを含む標準出力バッファがいっぱいになった場合のみ。
-Lインターフェイスでサポートされているデータリンクタイプを一覧表示して終了します。 報告されたリンクタイプ
に使用することができます -y オプションを選択します。
-nネットワークオブジェクトの名前解決(ホスト名、TCP、UDPポート名など)を無効にします。 the
-N フラグがこれを上書きする可能性があります。
-N
特定のタイプのアドレスとポート番号に対してのみ名前解決をオンにします。
他のタイプのアドレスとポート番号の名前解決がオフになっています。 この旗
オーバーライド -n 両方の場合 -N と -n 存在しています。 両方の場合 -N と -n フラグは存在しません、
すべての名前解決がオンになっています。
引数は、次の文字を含む可能性のある文字列です。
C 同時(非同期)DNSルックアップを有効にする
d キャプチャされたDNSパケットからの解決を有効にする
m MACアドレス解決を有効にする
n ネットワークアドレスの解決を有効にする
N ネットワークアドレス解決に外部リゾルバー(DNSなど)を使用できるようにする
t トランスポート層のポート番号の解決を有効にする
-o :
デフォルト値とから読み取られた値を上書きして、設定値を設定します。
設定ファイル。 オプションの引数は、次の形式の文字列です。 プレフネーム:値,
コラボレー プレフネーム 設定の名前です(これは表示されるのと同じ名前です
設定ファイル内)、および 値 設定する値です。
-O
に似て -V オプション、しかし原因 Tシャーク カンマの詳細ビューのみを表示するには-
の分離リスト プロトコル すべてのプロトコルの詳細ビューではなく、指定されたものです。
「の出力を使用しますタシュク -G プロトコル"あなたのプロトコルの略語を見つけるために
指定できます。
-p しないでください インターフェイスを無差別モードにします。 インターフェイスがにある可能性があることに注意してください
他の理由による無差別モード。 したがって、 -p を確認するために使用することはできません
キャプチャされるトラフィックは、マシンとの間で送受信されるトラフィックのみです。 Tシャーク
実行中、ブロードキャストトラフィック、およびその受信アドレスへのマルチキャストトラフィック
機械。
このオプションは複数回発生する可能性があります。 の最初の発生前に使用された場合 -i
オプションの場合、インターフェイスは無差別モードになりません。 後に使用する場合 -i
オプション、最後に指定されたインターフェース -i このオプションの前に発生するオプション
無差別モードにはなりません。
-Pを使用して生のパケットデータを書き込んでいる場合でも、パケットの概要をデコードして表示します。 -w
オプションを選択します。
-qパケットをキャプチャするとき、キャプチャされたパケットの連続カウントを表示しません。
通常、キャプチャをファイルに保存するときに表示されます。 代わりに、最後に表示するだけです
キャプチャ、キャプチャされたパケットの数。 SIGINFOシグナルをサポートするシステムでは、
さまざまなBSDなど、次のように入力することで現在のカウントを表示できます。
「ステータス」文字(通常はcontrol-Tですが、によって「無効」に設定される場合があります)
少なくとも一部のBSDではデフォルトであるため、使用するには明示的に設定する必要があります)。
キャプチャファイルを読み取るとき、またはキャプチャしてファイルに保存しないときは、印刷しないでください
パケット情報; これは、 -z 統計を計算するオプション
パケット情報を印刷するのではなく、統計だけを印刷します。
-Qパケットをキャプチャする場合、真のエラーのみを表示します。 これは、 -q
オプションであるため、インターフェイス名と合計パケット数、およびキャプチャの終了は含まれません。
stderrに送信されます。
-r
からパケットデータを読み取る ファイル内、サポートされている任意のキャプチャファイル形式にすることができます(
gzip圧縮されたファイル)。 ここでは名前付きパイプまたはstdin(-)を使用できますが、
特定の(圧縮されていない)キャプチャファイル形式(特に、読み取り可能な形式)
後方を探すことなく)。
-R
指定されたフィルターを作成します(これは、読み取り/表示フィルターの構文を使用しますが、
分析の最初のパス中に適用されるキャプチャフィルターのそれ)。 パケットではない
フィルタに一致することは、将来のパスでは考慮されません。 でのみ意味があります
複数のパス。-2を参照してください。 シングルパス分析での通常のフィルタリングについては、代わりに-Yを参照してください。
「response in frame #」などの前向きなフィールドは使用できないことに注意してください。
このフィルターは、このフィルターが適用されたときに計算されていないためです。
-s
ライブデータをキャプチャするときに使用するデフォルトのスナップショットの長さを設定します。 に過ぎません スナップレン
各ネットワークパケットのバイトは、メモリに読み込まれるか、ディスクに保存されます。 値0
スナップショットの長さを65535に指定して、パケット全体がキャプチャされるようにします。 これは
デフォルト。
このオプションは複数回発生する可能性があります。 の最初の発生前に使用された場合 -i
オプションの場合、デフォルトのスナップショットの長さを設定します。 後に使用する場合 -i オプション、それは設定します
最後に指定されたインターフェイスのスナップショットの長さ -i 前に発生するオプション
このオプション。 スナップショットの長さが特に設定されていない場合、デフォルトのスナップショット
提供されている場合、長さが使用されます。
-S
パケット間に印刷する行区切り文字を設定します。
-ta | ad | adoy | d | dd | e | r | u | ud | udoy
要約行に出力されるパケットタイムスタンプの形式を設定します。 形式は次のとおりです。
の一つ:
a 絶対時間:タイムゾーンの現地時間としての絶対時間は、実際の時間です。
パケットがキャプチャされ、日付は表示されません
ad 絶対日付付き:YYYY-MM-DDとして表示される絶対日付、およびローカルとして表示される時刻
タイムゾーン内の時間は、パケットがキャプチャされた実際の日時です。
adoy 年の日を使用した日付付きの絶対日:YYYY / DOYとして表示される絶対日、
タイムゾーンの現地時間としての時間は、パケットがあった実際の日時です。
捕捉した
d デルタ:デルタ時間は、前のパケットがキャプチャされてからの時間です。
dd delta_displayed:delta_displayed時間は、前回表示されてからの時間です
パケットがキャプチャされました
e エポック:エポックからの秒数(1年1970月00日00:00:XNUMX)
r 相対:相対時間は、最初のパケットと
現在のパケット
u UTC:UTCとしての絶対時間は、パケットがキャプチャされた実際の時間であり、
表示された日付
ud UTCと日付:YYYY-MM-DDとして表示される絶対日付と、UTCとして表示される時刻は
パケットがキャプチャされた実際の日時
ウドイ 日付を使用したUTC:YYYY / DOYとして表示される絶対日付、および
UTCとしての時間は、パケットがキャプチャされた実際の日時です。
デフォルトの形式は相対形式です。
-Tフィールド|pdml| ps |psml|テキスト
デコードされたパケット データを表示するときの出力の形式を設定します。 選択肢は一つ
の:
フィールド で指定されたフィールドの値 -e オプション、指定された形式で
-E オプション。 例えば、
-Tフィールド-Eseparator=、-E quote = d
にインポートするのに適したコンマ区切り値(CSV)出力を生成します
お気に入りのスプレッドシート プログラム。
PDML パケット詳細マークアップ言語、デコードされた詳細のXMLベースの形式
パケット。 この情報は、 -V
フラグ。
ps 各パケットの人間が読める XNUMX 行の要約の PostScript、または
かどうかに応じて、各パケットの詳細の複数行ビュー -V
フラグが指定されました。
psml 概要情報の XML ベースの形式である Packet Summary Markup Language
デコードされたパケットの。 この情報は、
デフォルトでXNUMX行の要約が印刷されます。
클라우드 기반 AI/ML및 고성능 컴퓨팅을 통한 디지털 트윈의 기초 – Edward Hsu, Rescale CPO 많은 엔지니어링 중심 기업에게 클라우드는 R&D디지털 전환의 첫 단계일 뿐입니다. 클라우드 자원을 활용해 엔지니어링 팀의 제약을 해결하는 단계를 넘어, 시뮬레이션 운영을 통합하고 최적화하며, 궁극적으로는 모델 기반의 협업과 의사 결정을 지원하여 신제품을 결정할 때 데이터 기반 엔지니어링을 적용하고자 합니다. Rescale은 이러한 혁신을 돕기 위해 컴퓨팅 추천 엔진, 통합 데이터 패브릭, 메타데이터 관리 등을 개발하고 있습니다. 이번 자리를 빌려 비즈니스 경쟁력 제고를 위한 디지털 트윈 및 디지털 스레드 전략 개발 방법에 대한 인사이트를 나누고자 합니다. 各パケットの人間が読めるXNUMX行の要約のテキスト、または複数行
かどうかに応じて、各パケットの詳細を表示します。 -V 旗は
指定。 これがデフォルトです。
-u
秒のタイプを指定します。 有効な選択肢は次のとおりです。
s 数秒間
HMS 時間、分、秒
-vバージョンを出力して終了します。
-V原因 Tシャーク パケットの詳細のビューを印刷します。
-w | -
生のパケットデータを アウトファイル または標準出力へ アウトファイル は '-'。
注:-wは、テキストではなく生のパケットデータを提供します。 テキスト出力が必要な場合は、
stdoutをリダイレクトします(たとえば、「>」を使用します)。 -w このためのオプション。
-W
フォーマットがサポートしている場合は、ファイルに追加情報を保存します。 例えば、
-F pcapng -W n
キャプチャされたパケットとともにホスト名解決レコードを保存します。
Wiresharkの将来のバージョンでは、キャプチャ形式が自動的に次のように変更される可能性があります。 pcapng as
必要です。
引数は、次の文字を含む可能性のある文字列です。
n ネットワークアドレス解決情報を書き込む(pcapngのみ)
-x原因 Tシャーク 印刷後にパケットデータのXNUMX進数とASCIIダンプを印刷するには
要約および/または詳細(いずれかが表示されている場合)。
-バツ
に渡すオプションを指定します Tシャーク モジュール。 eXtensionオプションは
フォーム 拡張キー:値ここで、 拡張キー することができます:
lua_script:lua_script_ファイル名 伝える Tシャーク に加えて、指定されたスクリプトをロードします
デフォルトのLuaスクリプト。
lua_scriptNUM:引数 伝える Tシャーク 与えられた引数をluaスクリプトに渡す
'lum'で識別されます。これは、 'lua_script'コマンドのインデックス付けされた順序です。
たとえば、「-X lua_script:my.lua」を使用してロードされたスクリプトがXNUMXつだけの場合、「-X」
lua_script1:foo 'は、文字列' foo 'を' my.lua 'スクリプトに渡します。 XNUMXつのスクリプトの場合
'-X lua_script:my.lua'や '-X lua_script:other.lua'などが読み込まれました
順序にすると、「-X lua_script2:bar」は文字列「bar」をXNUMX番目のluaに渡します
スクリプト、つまり「other.lua」。
読み取り形式:ファイル形式 伝える Tシャーク 指定されたファイル形式を使用してファイルを読み込む
(で与えられたファイル -r コマンドオプション)。 いいえ ファイル形式 引数、または
無効なものは、使用可能なファイル形式のファイルを生成します。
-y
パケットのキャプチャ中に使用するデータリンクタイプを設定します。 によって報告された値 -L
使用できる値。
このオプションは複数回発生する可能性があります。 の最初の発生前に使用された場合 -i
オプションの場合、デフォルトのキャプチャリンクタイプを設定します。 後に使用する場合 -i オプション、それは設定します
最後に指定されたインターフェイスのキャプチャリンクタイプ -i オプションが発生します
このオプションの前。 キャプチャリンクタイプが特に設定されていない場合、デフォルト
提供されている場合は、キャプチャリンクタイプが使用されます。
-Y
指定されたフィルターを作成します(これは、読み取り/表示フィルターの構文を使用しますが、
デコードされた形式のパケットを出力する前に適用される
ファイルへのパケットの書き込み。 フィルタに一致するパケットは、印刷または書き込みされます
ファイル; 一致するパケットが依存するパケット(フラグメントなど)は出力されません
しかし、ファイルに書き込まれます。 フィルタに一致しない、または依存しないパケットは
印刷または書き込みではなく破棄されます。
シングルパス分析を使用したフィルタリングには、-Rの代わりにこれを使用します。 XNUMXパスを行う場合
分析(-2を参照)の場合、読み取りフィルター(存在する場合)に一致するパケットのみが
このフィルターに対してチェックされます。
-z
以上 Tシャーク さまざまな種類の統計を収集し、その後に結果を表示します
キャプチャファイルの読み取りを終了します。 使用 -q キャプチャファイルを読み取っている場合はフラグを立てます
パケットごとの情報ではなく、統計のみを印刷する必要があります。
なお、 -z プロト オプションが異なります-統計が発生することはありません
キャプチャが完了すると収集および出力され、通常のパケットが変更されます
オプションで指定されたフィールドの値を含む要約出力。 したがって
使用してはいけません -q オプション、そのオプションはの印刷を抑制するので
通常のパケットサマリー出力であり、 -V オプション、そのように
パケット要約情報ではなく、パケット詳細情報が出力されます。
現在実装されている統計は次のとおりです。
-z 助けます
の可能なすべての値を表示します -z.
-z afp、srt [、filter ]
Apple FilingProtocolサービスの応答時間の統計を表示します。
-z ラクダ、srt
-z 比較、start,stop,ttl[0|1],注文[0|1],分散[,filter ]
オプションの filter が指定されている場合、フィルターに一致するパケットのみが
計算に使用されます。
-z conv、type[,filter ]
キャプチャで表示される可能性のあるすべての会話を一覧表示するテーブルを作成します。
type 生成する会話エンドポイントタイプを指定します
統計学; 現在サポートされているものは次のとおりです。
「Bluetooth」Bluetoothアドレス
「eth」イーサネットアドレス
「fc」ファイバチャネルアドレス
「fddi」FDDIアドレス
「ip」IPv4アドレス
「ipv6」IPv6アドレス
「ipx」IPXアドレス
「jxta」JXTAメッセージアドレス
「ncp」NCP 接続
「rsvp」RSVP接続
「sctp」SCTPアドレス
「tcp」TCP / IPソケットペアIPv4とIPv6の両方がサポートされています
「tr」トークンリングアドレス
「usb」 USBアドレス
「udp」UDP / IPソケットペアIPv4とIPv6の両方がサポートされています
「wlan」IEEE802.11アドレス
オプションの filter が指定されている場合、フィルターに一致するパケットのみが
計算に使用されます。
テーブルには、会話ごとにXNUMX行が表示され、番号が表示されます
各方向のパケット/バイトの数、およびパケット/バイトの総数。
テーブルは、フレームの総数に従ってソートされます。
-z dcerpc、srt、ウイド,主要な.マイナー[,filter ]
DCERPCインターフェイスのコール/応答SRT(サービス応答時間)データを収集します ウイド,
バージョン 主要な.マイナー. 収集されたデータは、各プロシージャの呼び出しの数です。
MinSRT、MaxSRTおよびAvgSRT。
例: -z dcerpc,srt,12345778-1234-abcd-ef00-0123456789ac,1.0 データを収集します
CIFSSAMRインターフェイス用。
このオプションは、コマンドラインで複数回使用できます。
オプションの filter が提供されている場合、統計はそれらについてのみ計算されます
そのフィルターに一致する呼び出し。
例: -z dcerpc,srt,12345778-1234-abcd-ef00-0123456789ac,1.0,ip.addr==1.2.3.4
特定のホストのSAMRSRT統計を収集します。
-z bootp、stat [、filter ]
DHCP(BOOTP)統計を表示します。
-z 直径、avp [、cmd.コード,フィールド,フィールド,...]
このオプションにより、大規模なフィールドから最も重要な直径フィールドを抽出できます。
ファイルをキャプチャします。 一致した直径メッセージごとに正確にXNUMXつのテキスト行
直径.cmd.code 印刷されます。
空の直径コマンドコードまたは「*」を指定して、任意のマッハを作成できます 直径.cmd.code
例: -z 直径、avp 直径メッセージからデフォルトのフィールドセットを抽出します。
例: -z 直径、avp、280 直径DWRからデフォルトのフィールドセットを抽出します
メッセージ。
例: -z 直径、avp、272 直径 CC メッセージからデフォルト フィールド セットを抽出します。
直径 CC メッセージから最も重要なフィールドを抽出します。
タシュク -r ファイル.cap.gz -q -z
直径、avp、272、CC-Request-Type、CC-Request-Number、Session-Id、Subscription-Id-Data、Rating-Group、Result-Code
直径メッセージごとに、次のフィールドが出力されます。
"frame" フレーム番号。
"time" フレーム到着の Unix 時間。
「src」送信元アドレス。
"srcport" 送信元ポート。
"dst" 宛先アドレス。
「dstport」宛先ポート。
「proto」定数文字列「diameter」。tshark出力の後処理に使用できます。 例:grep / sed/awk。
"msgnr"seq。 フレーム内の直径メッセージの数。 たとえば、同じフレームの2番目の直径のメッセージの場合は「XNUMX」。
「is_request」メッセージが要求の場合は「0」、メッセージが応答の場合は「1」。
「cmd」diameter.cmd_code、たとえば、クレジット制御メッセージの場合は「272」。
"req_frame" 一致するリクエストが見つかったフレームの数または '0'。
"ans_frame"一致する回答が見つかったフレームの数または「0」。
「resp_time」応答時間(秒単位)。一致する要求/応答がトレースに見つからない場合は「0」。 たとえば、キャプチャの開始時または終了時。
-z 直径、avp オプションはよりもはるかに高速です -V -T 클라우드 기반 AI/ML및 고성능 컴퓨팅을 통한 디지털 트윈의 기초 – Edward Hsu, Rescale CPO 많은 엔지니어링 중심 기업에게 클라우드는 R&D디지털 전환의 첫 단계일 뿐입니다. 클라우드 자원을 활용해 엔지니어링 팀의 제약을 해결하는 단계를 넘어, 시뮬레이션 운영을 통합하고 최적화하며, 궁극적으로는 모델 기반의 협업과 의사 결정을 지원하여 신제품을 결정할 때 데이터 기반 엔지니어링을 적용하고자 합니다. Rescale은 이러한 혁신을 돕기 위해 컴퓨팅 추천 엔진, 통합 데이터 패브릭, 메타데이터 관리 등을 개발하고 있습니다. 이번 자리를 빌려 비즈니스 경쟁력 제고를 위한 디지털 트윈 및 디지털 스레드 전략 개발 방법에 대한 인사이트를 나누고자 합니다. or -T PDML オプション。
-z 直径、avp オプションはより強力です -T フィールド と -z proto、colinfo
オプション。
XNUMXつのフレームで複数の直径のメッセージがサポートされています。
XNUMX つの直径メッセージ内の同じ名前を持つ複数のフィールドがサポートされています。
直径。サブスクリプション-Id-データ or 直径。評価グループ.
ご注意: タシュク -q デフォルトを抑制するにはオプションをお勧めします タシュク 出力。
-z dns、tree [、filter ]
キャプチャされた DNS パケットの概要を作成します。 一般的な情報が収集されます
qtypeやqclassディストリビューションなど。 一部のデータの場合(qnameの長さまたはDNSとして)
ペイロード)最大値、最小値、平均値も表示されます。
-z エンドポイント、type[,filter ]
キャプチャで表示される可能性のあるすべてのエンドポイントを一覧表示するテーブルを作成します。 type
統計を生成するエンドポイント タイプを指定します。
現在サポートされているものは次のとおりです。
「Bluetooth」Bluetoothアドレス
「eth」イーサネットアドレス
「fc」ファイバチャネルアドレス
「fddi」FDDIアドレス
「ip」IPv4アドレス
「ipv6」IPv6アドレス
「ipx」IPXアドレス
「jxta」JXTAメッセージアドレス
「ncp」NCP 接続
「rsvp」RSVP接続
「sctp」SCTPアドレス
「tcp」TCP / IPソケットペアIPv4とIPv6の両方がサポートされています
「tr」トークンリングアドレス
「usb」 USBアドレス
「udp」UDP / IPソケットペアIPv4とIPv6の両方がサポートされています
「wlan」IEEE802.11アドレス
オプションの filter が指定されている場合、フィルターに一致するパケットのみが
計算に使用されます。
テーブルには、会話ごとにXNUMX行が表示され、番号が表示されます
各方向のパケット/バイトの数、およびパケット/バイトの総数。
テーブルは、フレームの総数に従ってソートされます。
-z エキスパート[、エラー|、警告|、メモ|、チャット][、フィルター]
すべての専門家情報に関する情報を収集し、それらを順番に表示します。
重大度でグループ化。
例: -z 専門家、一口 フレームのすべての重大度のエキスパートアイテムが表示されます
SIPプロトコルに一致します。
このオプションは、コマンドラインで複数回使用できます。
オプションの filter が提供されている場合、統計はそれらについてのみ計算されます
そのフィルターに一致する呼び出し。
例: -z 「エキスパート、メモ、tcp」 フレームのエキスパートアイテムのみを収集します
注意以上の重大度で tcp プロトコルを含めます。
-z フォロー、プロテクション,モード,filter [、範囲]
XNUMX つのノード間の TCP または UDP ストリームの内容を表示します。 から送られてきたデータ
XNUMX番目のノードには、によって送信されたデータと区別するためにタブが接頭辞として付けられます
最初のノード。
プロテクション トランスポートプロトコルを指定します。 次のいずれかになります。
tcp TCP
UDPUDP
SSL SSL
モード 出力モードを指定します。 次のいずれかになります。
印刷不可能な文字のドットを含むasciiASCII出力
印刷不可能な文字のドットを含むebcdicEBCDIC出力
オフセット付きのXNUMX進数のXNUMX進数およびASCIIデータ
生のXNUMX進データ
の出力以来 アスキー or エブディック モードには改行が含まれる場合があり、それぞれの長さ
出力のセクションと改行は、出力の各セクションの前にあります。
filter 表示するストリームを指定します。 UDP/TCP ストリームは
ストリームインデックスまたはIPアドレスとポートのペアのいずれか。 SSLストリームが選択されています
ストリームインデックス付き。 例えば:
ip-addr0:port0、ip-addr1:port1
ストリームインデックス
範囲 オプションで、ストリームのどの「チャンク」を表示するかを指定します。
例: -z "follow、tcp、hex、1" 最初のTCPストリームの内容を表示します
「XNUMX進」形式。
================================================== =================
フォロー:tcp、hex
フィルタ:tcp.stream eq 1
ノード 0: 200.57.7.197:32891
ノード 1: 200.57.7.198:2906
00000000 00 00 00 22 00 00 00 07 00 0a 85 02 07 e9 00 02 ..."...........。
00000010 07 e9 06 0f 00 0d 00 04 00 00 00 01 00 03 00 06 ..........
00000020 1f 00 06 04 00.....。
00000000 00 01 00...。
00000026 00 02 00 00
例: -z "follow,tcp,ascii,200.57.7.197:32891,200.57.7.198:2906" 表示されます
200.57.7.197 ポート 32891 と 200.57.7.98 ポートの間の TCP ストリームの内容
2906.
================================================== =================
フォロー:tcp、ascii
フィルタ:(読みやすさのために省略)
ノード 0: 200.57.7.197:32891
ノード 1: 200.57.7.198:2906
38
..."....。
................
4
....
-z h225、counter [、フィルター]
ITU-TH.225メッセージとその理由を数えます。 最初の列にリストが表示されます
現在のキャプチャで発生するH.225メッセージとH.225メッセージの理由の
ファイル。 各メッセージまたは理由の発生数は、
XNUMX番目の列。
例: -z h225、カウンター.
オプションの filter が提供されている場合、統計はそれらについてのみ計算されます
そのフィルターに一致する呼び出し。 例:使用 -z "h225、counter、ip.addr == 1.2.3.4" 〜へ
IPアドレス225でホストによって交換されたH.1.2.3.4パケットの統計のみを収集します。
このオプションは、コマンドラインで複数回使用できます。
-z h225、srt [、フィルター]
ITU-T H.225 RASの要求/応答SRT(サービス応答時間)データを収集します。
収集されるデータは、各ITU-T H.225 RASメッセージタイプの呼び出し数、最小値です。
SRT、最大 SRT、平均 SRT、パケットの最小値、およびパケットの最大値。 あなたはするであろう
オープン リクエスト (未応答のリクエスト)、破棄されたレスポンスの数も取得します。
(一致する要求のない応答)および重複メッセージ。
例: -z h225、srt
このオプションは、コマンドラインで複数回使用できます。
オプションの filter が提供されている場合、統計はそれらについてのみ計算されます
そのフィルターに一致する呼び出し。
例: -z "h225、srt、ip.addr == 1.2.3.4" ITU-TH.225の統計のみを収集します
IPアドレス1.2.3.4でホストによって交換されるRASパケット。
-z ホスト[,ipv4][,ipv6]
収集されたIPv4および/またはIPv6アドレスを「ホスト」形式でダンプします。 IPv4と
IPv6アドレスはデフォルトでダンプされます。
アドレスは、標準の「hosts」ファイルを含む多くのソースから収集されます
キャプチャされたトラフィック。
-z hpfeeds、tree [、filter ]
チャネルごとの公開やオペコードなどのHPFEEDSトラフィックの統計を計算します
配布。
-z http、stat、
HTTP 統計分布を計算します。 表示される値は HTTP ステータスです
コードと HTTP リクエスト メソッド。
-z http、tree
HTTPパケット分布を計算します。 表示される値はHTTPリクエストです
モードとHTTPステータスコード。
-z http_req、tree
サーバーごとに HTTP リクエストを計算します。 表示される値は、サーバー名と
URIパス。
-z http_srv、ツリー
サーバーごとにHTTPリクエストとレスポンスを計算します。 HTTPリクエストの場合、
表示される値は、サーバーのIPアドレスとサーバーのホスト名です。 HTTPの場合
応答、表示される値はサーバーのIPアドレスとステータスです。
-z icmp、srt [、filter ]
合計ICMPエコー要求、応答、損失、損失率、および損失率を計算します。
最小、最大、平均、中央値、およびサンプルの標準偏差SRT統計
pingが提供する典型的なもの。
例: -z icmp、srt、ip.src == 1.2.3.4 ICMPのICMPSRT統計を収集します
特定のホストから発信されたエコー要求パケット。
このオプションは、コマンドラインで複数回使用できます。
-z icmpv6、srt [、filter ]
ICMPv6エコー要求、応答、損失、損失率の合計、および損失率を計算します。
最小、最大、平均、中央値、およびサンプルの標準偏差SRT統計
pingが提供する典型的なもの。
例: -z icmpv6、srt、ipv6.src == fe80 :: 1 のICMPv6SRT統計を収集します
特定のホストから発信されたICMPv6エコー要求パケット。
このオプションは、コマンドラインで複数回使用できます。
-z io、phs [、filter ]
パケット数とバイト数の両方をリストするプロトコル階層統計を作成します。 もしも
いいえ filter 指定すると、すべてのパケットの統計が計算されます。 もし
filter 指定された統計は、次のパケットについてのみ計算されます。
フィルタに一致します。
このオプションは、コマンドラインで複数回使用できます。
-z io、stat、インターバル[,filter ] [、filter ] [、filter ] ...
キャプチャのパケット/バイト統計を次の間隔で収集します インターバル 秒です。
インターバル 整数秒または分数秒のいずれかで指定できます。
マイクロ秒 (us) の分解能で指定されます。 もしも インターバル が0の場合、統計は
すべてのパケットに対して計算されます。
ない場合 filter を指定すると、すべてのパケットの統計が計算されます。 もしも
1つ以上 フィルター 指定された統計はすべてのフィルターに対して計算されます
フィルタごとにXNUMX列の統計が表示されます。
このオプションは、コマンドラインで複数回使用できます。
例: -z io、stat、1、ip.addr == 1.2.3.4 すべての1秒の統計を生成します
ホストとの間のトラフィック 1.2.3.4.
例: -z "io、stat、0.001、smb && ip.addr == 1.2.3.4" 1msの統計を生成します
ホスト1.2.3.4との間のすべてのSMBパケット。
上記の例はすべて、統計を生成するための標準構文を使用しています。
各間隔のパケット数とバイト数のみを計算します。
io、stat より多くの統計や計算を行うこともできます カウント(), 和(), MIN(),
MAX(), AVG() と ロード() 少し異なるフィルター構文を使用します。
-z io、stat、インターバル、"[COUNT | SUM | MIN | MAX | AVG | LOAD](フィールド)filter "
注:ここで注意すべき重要なことのXNUMXつは、フィルターがオプションではなく、
計算の基になるフィールドは、フィルター文字列の一部である必要があります。
計算は失敗します。
そう: -z io、stat、0.010、AVG(smb.time) 動作しません。 使用する -z
io、stat、0.010、AVG(smb.time)smb.time 代わりは。 また、フィールドが存在する可能性があることに注意してください
同じパケット内で複数回カウントされ、
それらのパケット。
注: XNUMX 番目に注意すべき重要な点は、XNUMX 進数のシステム設定が
セパレーターは「.」に設定する必要があります! 「,」に設定されている場合、統計は表示されません。
フィルタごとに表示されます。
カウント(フィールド)filter - フィールドの回数を計算します 名 (その
値) がフィルタリングされたパケット リストに間隔ごとに表示されます。 ''フィールド''は任意にすることができます
フィルタ名を表示します。
例: -z io,stat,0.010,"COUNT(smb.sid)smb.sid"
これにより、10ミリ秒間隔ごとに表示されるSIDの総数がカウントされます。
和(フィールド)filter - COUNT とは異なり、 値 指定されたフィールドの
時間間隔。 ''フィールド'' は名前付きの整数、浮動小数点数、倍精度浮動小数点型、または相対型のみにすることができます
時間フィールド。
例: -z io、stat、0.010、 "SUM(frame.len)frame.len"
すべてので双方向に送信されたバイトの総数を報告します
10ミリ秒間隔内のパケット。
最小・最大・平均(フィールド)filter -それぞれの最小、最大、または平均フィールド値
間隔が計算されます。 指定するフィールドは、名前付き整数、float、
ダブルまたは相対時間フィールド。 相対時間フィールドの場合、出力が表示されます
秒単位で、小数点以下XNUMX桁の精度を最も近い値に丸めます。
マイクロ秒。
次の例では、最初のRead_AndX呼び出し、最後のRead_AndXの時刻
応答値が表示され、最小、最大、および平均の読み取り応答
時間(SRT)が計算されます。 注:DOSコマンドのシェル行が続く場合
文字、''^'' が使用されている場合、各行はカンマで終了できないため、
各継続行の先頭:
tshark -o tcp.desegment_tcp_streams:FALSE -n -q -r smb_reads.cap -z io、stat、0、
"MIN(frame.time_relative)frame.time_relative and smb.cmd == 0x2e and smb.flags.response == 0"、
"MAX(frame.time_relative)frame.time_relative および smb.cmd==0x2e および smb.flags.response==1",
"MIN(smb.time)smb.time and smb.cmd == 0x2e"、
"MAX(smb.time)smb.time and smb.cmd == 0x2e"、
"AVG(smb.time)smb.time and smb.cmd == 0x2e"
================================================== ================================================== ==
IO統計
列#0:MIN(frame.time_relative)frame.time_relativeおよびsmb.cmd==0x2eおよびsmb.flags.response==0
列#1:MAX(frame.time_relative)frame.time_relativeおよびsmb.cmd==0x2eおよびsmb.flags.response==1
列 #2: MIN(smb.time)smb.time および smb.cmd==0x2e
列#3:MAX(smb.time)smb.timeおよびsmb.cmd == 0x2e
列#4:AVG(smb.time)smb.timeおよびsmb.cmd == 0x2e
| 列#0 | 列#1 | 列#2 | 列#3 | 列#4 |
時間| MIN | MAX | MIN | MAX | AVG |
000.000- 0.000000 7.704054 0.000072 0.005539 0.000295
================================================== ================================================== ==
次のコマンドは、SMB読み取り応答の平均PDUサイズ、合計を表示します
読み取りPDUバイト数、平均SMB書き込み要求PDUサイズ、および合計
SMB書き込みPDUで転送されたバイト数:
tshark -n -q -r smb_reads_writes.cap -z io、stat、0、
"AVG(smb.file.rw.length)smb.file.rw.length and smb.cmd == 0x2e and smb.response_to"、
"SUM(smb.file.rw.length)smb.file.rw.length および smb.cmd==0x2e および smb.response_to",
"AVG(smb.file.rw.length)smb.file.rw.length and smb.cmd == 0x2f and not smb.response_to"、
「SUM(smb.file.rw.length)smb.file.rw.lengthおよびsmb.cmd == 0x2fであり、smb.response_toではありません」
================================================== ===================================
IO統計
列#0:AVG(smb.file.rw.length)smb.file.rw.lengthおよびsmb.cmd==0x2eおよびsmb.response_to
列#1:SUM(smb.file.rw.length)smb.file.rw.lengthおよびsmb.cmd==0x2eおよびsmb.response_to
列#2:AVG(smb.file.rw.length)smb.file.rw.lengthおよびsmb.cmd == 0x2fであり、smb.response_toではありません
列#3:SUM(smb.file.rw.length)smb.file.rw.lengthおよびsmb.cmd == 0x2fであり、smb.response_toではありません
| 列#0 | 列#1 | 列#2 | 列#3 |
時間| AVG | SUM | AVG | SUM |
000.000- 30018 28067522 72
================================================== ===================================
ロード(フィールド)filter -各間隔のLOAD/Queue-Depthが計算されます。 The
指定するフィールドは、応答時間を表す相対時間フィールドである必要があります。
たとえば、smb.time. 間隔ごとに、指定されたキューの深さ
プロトコルが計算されます。
次のコマンドは、平均SMBLOADを表示します。 1.0の値は
飛行中のXNUMXつのI/O。
tshark -n -q -r smb_reads_writes.cap
-z "io、stat、0.001、LOAD(smb.time)smb.time"
========================================= =============
IO統計
間隔:0.001000秒
列#0:LOAD(smb.time)smb.time
| 列#0 |
時間| ロード|
0000.000000-0000.001000 1.000000
0000.001000-0000.002000 0.741000
0000.002000-0000.003000 0.000000
0000.003000-0000.004000 1.000000
フレーム | バイト[()filter ] -フレームまたはバイトの総数を表示します。 The
フィルタフィールドはオプションですが、含まれている場合は、先頭に''()''を付ける必要があります。
次のコマンドは、XNUMXつの列を表示します。フレームとバイトの総数
(双方向に転送)単一のコンマを使用し、同じXNUMXつの統計を使用して
FRAMES および BYTES サブコマンド、少なくとも XNUMX つを含むフレームの総数
SMB読み取り応答、およびクライアントに送信された合計バイト数
(一方向) IP アドレス 10.1.0.64 で。
tshark -o tcp.desegment_tcp_streams:FALSE -n -q -r smb_reads.cap -z io、stat、0、、FRAMES、BYTES、
"FRAMES()smb.cmd == 0x2e and smb.response_to"、 "BYTES()ip.dst == 10.1.0.64"
================================================ == ============================================== ==== ===============
IO統計
列 #0:
列 1: フレーム
列#2:バイト
列#3:FRAMES()smb.cmd==0x2eおよびsmb.response_to
列#4:BYTES()ip.dst == 10.1.0.64
| 列#0 | 列#1 | 列#2 | 列#3 | 列#4 |
時間| フレーム| バイト| フレーム| BYTES | フレーム| BYTES |
000.000- 33576 2972168533576 29721685 87029004801 XNUMX XNUMX
================================================ == ============================================== ==== ===============
-z mac-lte、stat [、フィルター]
このオプションは、LTEMACメッセージのカウンターをアクティブにします。 あなたは得るでしょう
UE/TTI の最大数、共通メッセージ、およびさまざまな情報に関する情報
ログに表示される各 UE のカウンター。
例: -z mac-lte、stat.
このオプションは、コマンドラインで複数回使用できます。
オプションの filter が提供されている場合、統計はそれらについてのみ計算されます
そのフィルターに一致するフレーム。 例: -z "mac-lte、stat、mac-lte.rnti3000">します
値が3000を超えるRNTIが割り当てられているUEの統計のみを収集します。
-z megaco、rtd [、フィルター]
MEGACOの要求/応答RTD(応答時間遅延)データを収集します。 (これは
に似て -z smb、srt)。 収集されるデータは、既知の各呼び出しの数です。
MEGACOタイプ、MinRTD、MaxRTDおよびAvgRTD。 さらに、あなたはの数を取得します
重複するリクエスト/レスポンス、応答のないリクエスト、一致しないレスポンス
どんなリクエストでも。 例: -z メガコ、rtd.
オプションの filter が提供されている場合、統計はそれらについてのみ計算されます
そのフィルターに一致する呼び出し。 例: -z "megaco、rtd、ip.addr ==1.2.3.4" のみ
IPアドレス1.2.3.4でホストによって交換されたMEGACOパケットの統計を収集します。
このオプションは、コマンドラインで複数回使用できます。
-z mgcp、rtd[、フィルター]
MGCPの要求/応答RTD(応答時間遅延)データを収集します。 (これは
に似て -z smb、srt)。 収集されるデータは、既知の各MGCPのコール数です。
タイプ、MinRTD、MaxRTD、およびAvgRTD。 さらに、重複の数を取得します
要求/応答、応答されていない要求、応答、これらはいずれとも一致しません
リクエスト。 例: -z mgcp、rtd.
このオプションは、コマンドラインで複数回使用できます。
オプションの filter が提供されている場合、統計はそれらについてのみ計算されます
そのフィルターに一致する呼び出し。 例: -z "mgcp、rtd、ip.addr ==1.2.3.4" のみ
IPアドレス1.2.3.4でホストによって交換されたMGCPパケットの統計を収集します。
-z proto、colinfo、filter ,フィールド
すべて追加 フィールド XNUMX行の要約の情報列へのパケットの値
出力。 この機能を使用して、の情報列に任意のフィールドを追加できます。
その列の通常の内容に加えて。 フィールド はdisplay-filter名です
情報列に値を配置する必要があるフィールドの。 filter フィルターです
フィールド値がどのパケットに表示されるかを制御する文字列
情報列。 フィールド パケットの情報列にのみ表示されます
一致する filter .
注: Tシャーク 抽出できるように フィールド パケットからの値、
フィールド の一部である必要があります filter ストリング。 そうでない場合は、 Tシャーク できない
その値を抽出します。
簡単な例として、「nfs.fh.hash」フィールドをすべての情報列に追加します
「nfs.fh.hash」フィールドを含むパケットは、
-z proto、colinfo、nfs.fh.hash、nfs.fh.hash
「情報」列に「nfs.fh.hash」を入力しますが、ホストからのパケットのみを対象とします
1.2.3.4使用:
-z "proto、colinfo、nfs.fh.hash && ip.src==1.2.3.4,nfs.fh.hash"
このオプションは、コマンドラインで複数回使用できます。
-z rlc-lte、stat [、フィルター]
このオプションは、LTERLCメッセージのカウンターをアクティブにします。 あなたは得るでしょう
に表示される各UEの一般的なメッセージとさまざまなカウンタに関する情報
ログ。
例: -z rlc-lte、stat.
このオプションは、コマンドラインで複数回使用できます。
オプションの filter が提供されている場合、統計はそれらについてのみ計算されます
そのフィルターに一致するフレーム。 例: -z "rlc-lte,stat,rlc-lte.ueid3000">します
UEId が 3000 を超える UE の統計情報のみを収集します。
-z rpc、programs
既知のすべてのONC-RPCプログラム/バージョンの呼び出し/応答SRTデータを収集します。 データ
収集されるのは、各プロトコル/バージョン、MinSRT、MaxSRT、およびAvgSRTの呼び出し数です。
このオプションは、コマンドラインでXNUMX回だけ使用できます。
-z rpc、srt、プログラム,バージョン[,filter ]
の呼び出し/応答SRT(サービス応答時間)データを収集します プログラム/バージョン。 データ
収集されるのは、各プロシージャ、MinSRT、MaxSRT、AvgSRT、および
各手順にかかった合計時間。
例: -z rpc、srt、100003,3 NFSv3のデータを収集します。
このオプションは、コマンドラインで複数回使用できます。
オプションの filter が提供されている場合、統計はそれらについてのみ計算されます
そのフィルターに一致する呼び出し。
例: -z rpc、srt、100003,3、nfs.fh.hash == 0x12345678 NFS v3SRTを収集します
特定のファイルの統計。
-z rtp、streams
すべてのRTPストリームの統計を収集し、最大値を計算します。 デルタ、最大と意味
ジッタとパケット損失のパーセンテージ。
-z scsi、srt、コマンドセット[,filter ]
SCSIコマンドセットのコール/応答SRT(サービス応答時間)データを収集します コマンドセット.
コマンドセットは0:SBC 1:SSC 5:MMCです。
収集されるデータは、各プロシージャ、MinSRT、MaxSRT、および
AvgSRT。
例: -z scsi、srt、0 SCSI BLOCK COMMANDS(SBC)のデータを収集します。
このオプションは、コマンドラインで複数回使用できます。
オプションの filter が提供されている場合、統計はそれらについてのみ計算されます
そのフィルターに一致する呼び出し。
例: -z scsi、srt、0、ip.addr == 1.2.3.4 のSCSISBCSRT統計を収集します
特定のiscsi / ifcp / fcipホスト。
-z sip、stat [、フィルター]
このオプションは、SIPメッセージのカウンターをアクティブにします。 あなたはの数を取得します
各SIPメソッドおよび各SIPステータスコードの発生。 さらにあなたも
再送信されたSIPメッセージの数を取得します(SIP over UDPの場合のみ)。
例: -z sip、stat.
このオプションは、コマンドラインで複数回使用できます。
オプションの filter が提供されている場合、統計はそれらについてのみ計算されます
そのフィルターに一致する呼び出し。 例: -z "sip、stat、ip.addr == 1.2.3.4" のみ
IP アドレス 1.2.3.4 のホストによって交換された SIP パケットの統計を収集します。
-z smb、sids
この機能を使用する場合 Tシャーク 検出されたすべてのSIDを含むレポートを印刷します
およびアカウント名のマッピング。 アカウント名がわかっているSIDのみが
表に表示されます。
この機能を機能させるには、次のいずれかを有効にする必要があります
プリファレンスの「Edit/Preferences / Protocols / SMB / Snoop SIDtonamemappings」または
指定することで設定を上書きできます -o "smb.sid_name_snooping:TRUE" on
Tシャーク コマンドライン。
によって使用されている現在の方法 Tシャーク SIDを見つける->名前のマッピングは比較的です
将来の拡張を期待して制限されています。
-z smb、srt [、filter ]
SMBのコール/応答SRT(サービス応答時間)データを収集します。 収集されたデータは
各SMBコマンド、MinSRT、MaxSRT、およびAvgSRTの呼び出し数。
例: -z smb、srt
データは、すべての通常のSMBコマンドの個別のテーブルとして表示されます。
Transaction2コマンドとすべてのNTトランザクションコマンド。 そのコマンドのみ
キャプチャに表示されると、統計が表示されます。 の最初のコマンドのみ
xAndXコマンドチェーンが計算に使用されます。 だから一般的な
SessionSetupAndX + TreeConnectAndXチェーン、SessionSetupAndX呼び出しのみが
統計で使用されます。 これは、将来修正される可能性のある欠陥です。
このオプションは、コマンドラインで複数回使用できます。
オプションの filter が提供されている場合、統計はそれらについてのみ計算されます
そのフィルターに一致する呼び出し。
例: -z "smb、srt、ip.addr == 1.2.3.4" SMB パケットの統計情報のみを収集します
IPアドレス1.2.3.4でホストによって交換されます。
--capture-comment
出力ファイルにキャプチャコメントを追加します。
このオプションは、pcapng 形式の新しい出力ファイルが作成された場合にのみ使用できます。
出力ファイルごとに設定できるキャプチャコメントはXNUMXつだけです。
--disable-protocol
proto_nameの分析を無効にします。
--enable-ヒューリスティック
ヒューリスティックプロトコルの分析を有効にします。
--disable-ヒューリスティック
ヒューリスティックプロトコルの分析を無効にします。
キャプチャー フィルタ 構文
のマニュアルページを参照してください pcap フィルター(7)または、それが存在しない場合は、 tcpdump(8)、または、その場合
存在しない、 。
お客様の声は フィルタ 構文
でフィルタリング可能なプロトコルおよびプロトコルフィールドの完全なテーブルについては Tシャーク 見る
Wiresharkフィルター(4)マニュアルページ。
onworks.net サービスを使用して tshark をオンラインで使用する
