wiresharkでネットワークのログをとったら、どうする?
- wiresharkでネットワークのログをとった場合、ログの精査方法について詳しく説明します。
- wiresharkで取得したネットワークのログを確認する際には、宛先のIPアドレスをひとつずつ確認していく必要があります。フィルタリングを使って特定のIPアドレスを除外することもできます。
- Wiresharkのフィルタの使い方を理解し、不要なIPアドレスを排除してログの確認作業を効率化する方法を紹介します。
- ベストアンサー
wiresharkでネットワークのログをとったら、
wiresharkでネットワークのログをとったら、そのあと、どうやってログの精査をしますか。 ひとつづつ、どこの宛先につながったか確認していかないといけないという事でしょうか、やはり。 実際、記録されるIPアドレスの数が多くて見るのに一苦労だと思いましたが、地道に見ていくしかないのでしょうか。 それとも、何か、フィルタリングをする事は出来るのでしょうか。 例えば、ヤフーのyahoo.co.jpはフィルタにかけて除外するとか。 実際、Wiresharkのフィルタの使い方はわかります。 そして、明らかに関係ないIPは除外していくしかないと思うのですが、最初に、不要なIPアドレスは何らかの方法で排除して、自分で確認するIPの数が減ればよいかなと思いました。 それがフィルタの機能なのでしょうか。 なんかうまい方法ありますか。
- winakaran3
- お礼率38% (7/18)
- ネットワーク
- 回答数4
- ありがとう数1
- みんなの回答 (4)
- 専門家の回答
質問者が選んだベストアンサー
>>初歩的な質問ですが それ外にも色々使えます。 プロキシや、ファイアウォールが 想定通り動作しているか? などを確認するのは、wiresharkを使用すれば、一目瞭然です。 想定外の外部からのパケット受け入れも炙り出せます。 万能かどうかは作者やメンテナーでは無いので、言及できません。
その他の回答 (3)
- Ultra-Hetare
- ベストアンサー率38% (204/526)
ググればまだまだ出てきますが、 信頼できるサイトの情報は下記などでしょうか・・ https://www.infraexpert.com/info/wireshark5.html https://www.toyo.co.jp/onetech_blog/articles/detail/id=35803 https://www.toyo.co.jp/onetech_blog/articles/detail/id=35811 取得時のフィルタと、表示時のフィルタの使い分け、 というかそれは好みなのですが、試行錯誤して下さい。
補足
初歩的な質問ですが、wiresharkは、ネットワークの知識を使用して何らかのフィルタ式でパケットを振り分けてTCPストリームやHTTPストリームなどを使ってパケットの流れを見て、どんなパケットが流れてきたのかを確認する物という事でしょうか。
- AsarKingChang
- ベストアンサー率46% (3467/7472)
>それとも、何か、フィルタリングをする事は出来るのでしょうか。 というか、いらないログをとっても無駄でしかないので、 通常は tcpdumpなどのネットワーク通信ログをパイプで 例えば、 grep -v 123.123.123.123 IP 123.123.123.123を「含まない」ログで書き出せ。 と指示したりしますけどね。 ただ、Winのパイプは似てるけど偽物で、 一度実体を作ってるケースもあり、それじゃダメじゃん! ってのがありますね。STDIN/STDOUTのみで 本当にパイプ制御できないと、まともなログは ほぼほぼ取れないな~という印象はあるので。 本気でログ取りたいなら、 メインルーターからLinuxで受け止めて、 別セグメントでそのPCに送り出し、 Linuxでまともなログを取るほうが、しっかりした結果には なると思いますよ。 (あくまで一例で、そうしないとだめ!って意味じゃないですが)
補足
関係無いIP等を排除するのは当然だと思いますが、元々、yahoo.co.jpとか、okwave.jpのような明らかに関係ない所を排除できるリストみたいなのがどこかに公開されていれば楽で良いかなと思いました。 パケットをとった後、何かのリストやテンプレートを一度読ませて、その後、パケットを見れば少しは見る量が減りますし。 世の中、そんなに甘くないでしょうか。
- agehage
- ベストアンサー率22% (2552/11346)
フィルターをかけることができますよ 宛先、送信元、プロトコルなどでフィルターをかけられます
補足
関係無いIP等を排除するのは当然だと思いますが、元々、yahoo.co.jpとか、okwave.jpのような明らかに関係ない所を排除できるリストみたいなのがどこかに公開されていれば楽で良いかなと思いました。 パケットをとった後、何かのリストやテンプレートを一度読ませて、その後、パケットを見れば少しは見る量が減りますし。 世の中、そんなに甘くないでしょうか。
関連するQ&A
- Wireshark 該当時間のみ抽出
Wiresharkの フィルタリング方法について質問です。 現在、会社のルータのCPUが高騰している時間でどのような通信が行われているのかWiresharkを用いて解析をしようとしています。 キャプチャは事前にしかけており、丸一日のキャプチャログがある状態で、そこから該当時間のキャプチャのみ絞り込もうとしています。 ですが、Wiresharkで以下のフィルタをかけても該当時間からパケットキャプチャが終了した時間までのデータを出力してしまいます。 frame.time > "2015-06-11 09:59:00.000" やりたいこととして、9:59のログのみWireshark上へ表示させたいと考えています。 そこから、IPやプロトコルなどでさらに細かく絞り込む予定です。 フィルタで可能なのか、もしくはWiresharkの別の機能を使えば可能なのか、ご教示ください。 宜しくお願いします。
- 締切済み
- その他(ITシステム運用・管理)
- 不正アクセスをされているか確認する方法
自分の家のPCのWindows11Home搭載PCに不正アクセスをされているか確認する方法について質問です。 思いつくことでは、 セキュリティソフトやOSのファイアーウォールのログを有効にしてログを精査する。 wiresharkを使ってパケットを見る。 くらいなのですが、ファイアーウォールのログを見る方法の後、Wiresharkを使うまでの間に何かすることはありますか。 また、不正アクセスをされているか確認するには、どこのIPに通信されているかを見るのがメインにでしょうか。
- ベストアンサー
- セキュリティ対策
- ルータのログに不可解なものが…
私の自宅では数年来YAMAHA RTA54iというルータを使っております。 このルータにはログ機能があるのですが、購入以来あまりチェックしていませんでした。 先ほど見てみたら、なにやら不審なログが記録されておりました。ログの読み方はなんとかわかるのですが、それが何を意味するのかが分かりません。 ログの該当箇所を貼り付けます。 2005/01/15 09:53:43: LAN1 Rejected at IN(100002) filter: UDP 192.168.0.2:137 > 211.196.154.169:137 2005/01/15 09:57:55: same message repeated 2 times 192.168.0.2は私のPCのアドレスで、私のPCの137番ポートから身に覚えの無い宛先211.196.154.169の137番ポートへパケットが流れようとしたのを遮断したという記述です。 これと同じ記述が何分かおきにログに記録されていました。ただ、毎回宛先IPは変化しています。 試しに↑の宛先アドレスをIPドメインSEARCH(http://www.mse.co.jp/ip_domain/)で検索してみたのですが、さっぱり見方がわかりませんでした。 リジェクトされているのだから大丈夫かなとは思いましたが、 考えれば考えるほど不安になってきました。 どなたかこのログの意味を教えてください。 よろしくお願いします。
- 締切済み
- ネットワーク
- FortiGateのログについて
FortiGateのログを有効にしたのですが、通信ログが残っていません。 なにか、フィルターを設定しないといけないのでしょうか? また、ネットワーク機器は除外して、接続されているPCの通信だけ、ログデータとして、取得したいと思っています。 フィルター設定方法やログデータの表示方法などあれば、教えて下さいm(_ _)m 目的は、仕事中に、ネットサーフィンしているフトドキ者に証拠を出すためです。
- 締切済み
- ネットワーク
- 携帯からのアクセスログ
ブログを毎日利用して、更新しています。 そこでカウンターを設置して訪問者数を参照したり、自分のブログへのアクセスを確認しています。 そのアクセスログですが、PC以外の携帯のウェブなどからのアクセス(訪問者数やアドレス?など)というのは解析できないものなのでしょうか? もしもできるのであれば、それはIPアドレスのような表示がされるのでしょうか??
- ベストアンサー
- ブログ
- unnumbered接続でのアクセスログについて
Bフレッツマンションタイプ-VDSL-Web Caster720の構成でフレッツグループアクセスプロを行なっています。 アクセスログを確認したところ、見知らぬIPアドレスのログが残っています。 自身のunnumberedでのIPアドレスを192.168.10.1/24とすると、192.168.20.3など異なるセグメントのログがあります。 これはVPN対抗のアドレスなのでしょうか? どなたかご教授のほどお願い致します。
- 締切済み
- ルーター・ネットワーク機器
- ルータに不審なログがあり困っています
pcにウイルスが入り、pc、ルータその他つないでいた機器も全て取り外し初期化、オフラインにし、新たなルータとスマートフォンを接続してルータのログを確認すると海外各国のipアドレスから大量のping?が打たれルータのFWが作動しまくっています。(fromの後が海外のipアドレスto自身のipアドレス) 自分はルータのログを初めて見たのでこれが正常かどうかわからないです。 更にこういう場合はipアドレスを変更すると治るはずですが、変更しても大量のログがきます。 どうすれば良いでしょうか?またこれは正常ですか? お力添えお願いいたします。
- 締切済み
- ルーター・ネットワーク機器
- パソコン・ネットワークについて
パソコン・ネットワークでの質問です。 IPアドレスについて、確認したいのですが、IPアドレスは数種類あると聞きます。 分かりやすく教えて頂きたいので、IPアドレスを車のナンバープレートで 例えて頂けますか。
- 締切済み
- ISP・プロバイダ
- ルータが外部に通信しようとします
次のような環境で、ADSLでインターネットに接続しています。 【ルータ兼ADSLモデム】 NEC Aterm DR202C 【ルータのLAN側IPアドレス】 192.168.0.1 【PCのLAN側IPアドレス】 192.168.0.2 ※PC1台でネットに接続しています ルータのパケットフィルタリングの設定において、localhost/255.255.255.0から任意の宛先IPアドレスに対して、宛先ポートが次に該当しない場合は、通信を拒否するように設定しています。 【通信可能な宛先ポート】 20,21,53,80,110,123,443,587 ルータのログを確認したところ、次の内容がありました。 2008/01/06 10:27:50 IP_Filter REJECT TCP 192.168.0.1:22 > 190.24.145.50:44792 (IP-PORT=6) ログの内容としては、ルータ(192.168.0.1)が(190.24.145.50)のTCP44792番ポートにアクセスしようとして、パケットフィルタリングの設定により、パケットが廃棄されたものだと思います。 なぜ、ルータがこのような通信をしようとしたのか、分かりません。 ルータには時刻合わせの機能がありますが、自動設定(工場出荷時の設定により、NTPサーバに接続)ではなく、手動設定でNTPサーバを指定したため、時刻合わせで上記の通信が発生するとは考えられません。 PCのウイルスチェックを実施しましたが、感染は見つかりませんでした。 このような通信が発生した原因として考えられることを教えてください。
- ベストアンサー
- ネットワーク
- ネットワークHDDのログ収集
バッファローのLS-XHLシリーズを使っています。 ネットワークドライブの特定のフォルダのアクセス履歴(IPアドレス、できればユーザ名)を取得したいのですが、何か良い方法をご存知でしたら教えて下さい。 製品自体はログ取得機能が無いので、ソフトウェアかアプライアンスを導入する方法になるかと思いますが、コストはかけたく無いです。 ネットワーク上には、24時間稼働PCが2台ありますので、これを使ってなんとかできないかと思っています。
- ベストアンサー
- ネットワーク
お礼
確かに、ファイアーウォールのチェックなど他に使い方の説明がありました。 他に回答して頂いた方々もありがとうございました。 ここで一度質問を終了しようと思います。