• ベストアンサー

Wiresharkのキャプチャログの検索方法

WireSharkで現在作成している端末のTCPパケットを1時間ぐらいキャプチャしました。この1時間の間に3回ぐらい10分程度無通信状態の時間帯があるんですが、その時間を忘れてしまいました。この時間帯を検索したいのですが、ログの量が多すぎて見つけるのが難しくて困ってます。Filter検索とかで何時何分のパケットだけ表示する方法は無いでしょうか?

質問者が選んだベストアンサー

  • ベストアンサー
回答No.1

WireSharkには「IOグラフ」という通信量をグラフ表示する機能があります。 やったことはありませんが、発生した時間のおおよその確定はできると思います。 ■「IOグラフの表示方法 (1)メニューバーより[Statistics]-[IO Graphs]を選択します。 (2)画面右下あたりにある「X Axis」の「View as time of day」にチェックを入れます。 (3)グラフを確認し、無通信の時間帯はY軸の値が低いはずなので、その時間帯を確認する。 時間が判れば、該当箇所の特定も簡単にできますし、あと表示結果をファイル出力することもできますので資料作りにも役立つかもしれないですね^^ ※「X Axis」と「Y Axis」の表示単位は通信量に合せて適宜変更して下さい。 以上です。 あと、Flow Graph なんかでも確認できるかもしれないですね。 これも「statistics」にあります。 以上、ご参考まで。

techhouse
質問者

お礼

回答頂きありがとうございます!! 助かりました。とても見やすいですね

関連するQ&A

  • Wireshark 該当時間のみ抽出

    Wiresharkの フィルタリング方法について質問です。 現在、会社のルータのCPUが高騰している時間でどのような通信が行われているのかWiresharkを用いて解析をしようとしています。 キャプチャは事前にしかけており、丸一日のキャプチャログがある状態で、そこから該当時間のキャプチャのみ絞り込もうとしています。 ですが、Wiresharkで以下のフィルタをかけても該当時間からパケットキャプチャが終了した時間までのデータを出力してしまいます。 frame.time > "2015-06-11 09:59:00.000" やりたいこととして、9:59のログのみWireshark上へ表示させたいと考えています。 そこから、IPやプロトコルなどでさらに細かく絞り込む予定です。 フィルタで可能なのか、もしくはWiresharkの別の機能を使えば可能なのか、ご教示ください。 宜しくお願いします。

  • wireshrekで特定のパケットデータの検索方法

    現在wiresharkで数十台のクライアント端末をサーバに接続させる通信テストを行っているのですが、この中の1台の通信が切れたりしているので、その原因の解析のためにwiresharkでパケットをキャプチャしているのですが、この端末を特定するためにこの端末が出力しているパケットを特定したいのですが、どのようにしたら良いでしょうか?この端末のパケットのデータには必ず00 1e 88 00というデータが入っているのですが、これをフィルタする方法を教えて下さい。お願い致します。 ちなみに、data matches 001e8800 というフィルタ条件を作ったのですが、これでは検索できませんでした。

  • Wiresharkの使い方

    Wiresharkで、自分のパソコン以外のパソコンのパケットをキャプチャするにはどうすれば良いのでしょうか? ・遠くに住んでいる家族のパソコンをキャップチャするにはどうすれば良いのでしょうか?(IPアドレスを教えてもらえばできますか?) ・自宅にパソコンが2台あるのですが、Wiresharkをインストールしたパソコンからもう一つのパソコンの通信を見るにはどうすれば良いのでしょうか? ・大学の研究室に自分のパソコンを2台持って行くとして、Wiresharkをインストールしたパソコンからもう一つのパソコンの通信を見るにはどうすれば良いのでしょうか?(自分のパソコンを使って実験すれば迷惑にはなりませんか?) スイッチとかハブの仕組みがよくわかっていないのが原因だとはわかっているのですが、本などを読んでいても理解できなくて・・・申し訳ありませんが教えてください。 そもそも自分のパソコンがどのネットワーク機器で通信しているのかわかりません。 ですが、とりあえず実践してみて、パケットやネットワークについて学んでいきたいと思っています。 面倒でしたら、どれかひとつでも良いので教えてくださると嬉しいです。 よろしくお願いします。

  • Wiresharkのフィルター条件

    現在、事務所内に設置したサーバー端末(ip = 192.168.1.120)とクライアント端末(ip = 192.168.1.140)の通信パケットをモニターするために、2日程度のパケットログデータのWiresharkのデータがあります。 この2つの端末間のみのパケットで、かつ、昨日の夜20:00以降のパケットのみを抽出するフィルター条件式はどのように設定すれば良いか教えて頂けないでしょうか? どうぞ、よろしくお願い致します。

  • Wiresharkで長期間キャプチャできますか?

    1ヶ月間常時パケットキャプチャしておき、後ほどアプリの動作に問題があった場合は特定時間の状態を調べたいと思っています。 試しに20分間キャプチャして試したところ、ちゃんとフィルタをした結果でも20MB程度になってしまい、1ヶ月で40GBを超えます。 この条件でWiresharkは動作するでしょうか? さすがに難しいと思うので、自動でログローテーションさせるなどの運用方法はありませんか? また、Wiresharkで表示されている時間はキャプチャ開始からの時間のようですが、日時を知る方法はありますか? よろしくお願いします。

  • WiresharkのFlow Graph

    現在WiresharkのFlow Graphという機能を使用して、クライアント端末がサーバー端末へのTCP通信での3ウェイハンドシェイクのパケットやりとりを観測したいと思っています。 次のようなパケットをモニターしました。 |Time | 192.168.1.111 | | | | 192.168.1.222 | |6.402 | PSH, ACK - Len: 1212 |Seq = 1 Ack = 1 | |(6057) ------------------> (5000) | |6.606 | PSH, ACK - Len: 1212 |Seq = 1 Ack = 1 | |(6057) ------------------> (5000) | |6.835 | PSH, ACK - Len: 1212 |Seq = 1 Ack = 1213 | |(6057) <------------------ (5000) | |7.039 | ACK | |Seq = 1213 Ack = 1213 | |(6057) ------------------> (5000) | |7.150 | ACK | |Seq = 1213 Ack = 1213 このパケットのやりとりを観ていて思ったのですが、TCP通信は3ウェイハンドシェイクは SYN--->SYN ACK---> ACK という順序でのパケットのやりとりをクライアントとサーバー間で行うと思っていたのですが、 PSH, ACK ----> PSH, ACK ----> ACK ----> ACK このような順序になっているように思うのですが、これはなぜなのかご教授頂けないでしょうか? どうぞ、よろしくお願い致します。

  • Wiresharkでみるときの、1回のパケット

    Wiresharkでみるときの、1回のパケットを追う方法を探してます。 TCP通信にて、通信確立後にデータのやり取りをしている通信を数時間tcpdumpにて取得し、 Wiresharkで流れをみています。そのときに、1回のデータのやり取りと見るために方法を教えてください。 クライアントからのリクエストとサーバからのレスポンスで、 1回目クライアントからデータ送信し、 複数かいやり取りして、終了(200 OKを返却して) 2回目クライアントからデータ送信し、 複数かいやり取りして、終了(200 OKを返却して) という動作を繰り返してますが、 この1回目がここからここまでのパケット、2回目がここからここまでのパケットと知りたいのです。 なんとなくみると、ストリームNoなどもありますが、 ストリームNoが1回の通信後とのNoかとおもったら、 ストリームNoでフィルタしたら、 1回目5回目8回目・・と複数回のものが同じストリームNoであり、 どうゆうことだとうと疑問になってます。 詳しい方よろしくお願いします。

  • TCP/IP通信3ハンドシェイクについて

    TCP/IPのTCP通信の3ハンドシェイク通信に関して質問なのですが、インターネットを使ったある端末でセンターのサーバーと6秒に1度程度3ハンドシェイク通信を行ってインターネット回線が正常かどうかを判定する機能を持っているそうなのですが、その時に1回の通信でどの程度のパケットをやり取りしているのかということを質問してみたら、約1.2kbyte程度のパケットをやり取りしていると業者の方が言っていました。 ちょっと興味があってWireSharkでこの端末とサーバ間のパケット通信をのぞいてみたところ、端末が1.2kbyte送信していたのですが、サーバからのACKと思われるパケットが1.2kbyteのパケットを返してきていて、再度端末が60バイト程度のパケットをサーバのIPアドレスに送信していました。 私はてっきり、端末とサーバー間のこの3ウェイハンドシェイクのパケットの総量が1.2kbyteだと思っていたのですが、これだと1.2k + 1.2k + 60 = 2.46kbyteとなると思うのですが、パケットのやり取りとしては正しいのでしょうか? サーバー側が受信したら同じ容量の1.2kbyteのデータをACKとして返してきているように思うのですが、Wiresharkで見ても全く同じデータでは無いようでした。サーバはデータを受け取ったら、ちゃんと受信したという1 or 0のデータみたいなものを返せばよいだけだと思うのですが、理由はあるのでしょうか?

  • wiresharkの6H毎のキャプチャの設定保存

    wiresharkで、サーバアプリケーションの通信状態を監視してエージングテストみたいなことをしています。 その際に、サーバーマシンのイーサネットポートの通信のキャプチャはほぼ24時間体制でキャプチャさせているのですが、どんどんキャプチャファイルがでかくなって行くのは避けたいので、6時間毎に1ファイル出力するようにしているのですが、この設定を保存することは可能でしょうか? wiresharkを一旦終了させると、再度立ち上げた際にこの設定を手動で設定しないといけないのですが、方法はありますでしょうか? どうぞ、ご教示の程よろしくお願い致します。

  • wiresharkでパケットのデータの文字列検索

    現在wiresharkでサーバー通信時の端末のパケットの内容の確認を行っていて、データ部分に"1009"という文字列を4文字を含んだパケットのみをフィルタで抽出して表示したいです。 試しに、 https://nekop.hatenablog.com/entry/20130624/1372041013 このサイトのフィルタのかけたかを参考に data.data contains 31:30:30:39 このようにしてフィルタしてみたのですが、引っ掛かりません。 どのようにフィルタを指定したらよいのかご教示頂きますよう、よろしくお願い致します。