• 締切済み

Wireshark 該当時間のみ抽出

Wiresharkの フィルタリング方法について質問です。 現在、会社のルータのCPUが高騰している時間でどのような通信が行われているのかWiresharkを用いて解析をしようとしています。 キャプチャは事前にしかけており、丸一日のキャプチャログがある状態で、そこから該当時間のキャプチャのみ絞り込もうとしています。 ですが、Wiresharkで以下のフィルタをかけても該当時間からパケットキャプチャが終了した時間までのデータを出力してしまいます。 frame.time > "2015-06-11 09:59:00.000" やりたいこととして、9:59のログのみWireshark上へ表示させたいと考えています。 そこから、IPやプロトコルなどでさらに細かく絞り込む予定です。 フィルタで可能なのか、もしくはWiresharkの別の機能を使えば可能なのか、ご教示ください。 宜しくお願いします。

みんなの回答

回答No.1

wiresharkではないのですが、「パケットキャプチャ パケットスパイダーV」の 商用版でなら可能です。 wiresharkのデータをpcap形式のファイル経由で読み込ませて、抽出条件に 時間の範囲を入力するだけで抽出してくれます。

  1. カテゴリ
  2. [技術者向] コンピューター
  3. ITシステム運用・管理
  4. その他(ITシステム運用・管理)

関連するQ&A

  • Wiresharkで長期間キャプチャできますか?

    1ヶ月間常時パケットキャプチャしておき、後ほどアプリの動作に問題があった場合は特定時間の状態を調べたいと思っています。 試しに20分間キャプチャして試したところ、ちゃんとフィルタをした結果でも20MB程度になってしまい、1ヶ月で40GBを超えます。 この条件でWiresharkは動作するでしょうか? さすがに難しいと思うので、自動でログローテーションさせるなどの運用方法はありませんか? また、Wiresharkで表示されている時間はキャプチャ開始からの時間のようですが、日時を知る方法はありますか? よろしくお願いします。

  • wiresharkでネットワークのログをとったら、

    wiresharkでネットワークのログをとったら、そのあと、どうやってログの精査をしますか。 ひとつづつ、どこの宛先につながったか確認していかないといけないという事でしょうか、やはり。 実際、記録されるIPアドレスの数が多くて見るのに一苦労だと思いましたが、地道に見ていくしかないのでしょうか。 それとも、何か、フィルタリングをする事は出来るのでしょうか。 例えば、ヤフーのyahoo.co.jpはフィルタにかけて除外するとか。 実際、Wiresharkのフィルタの使い方はわかります。 そして、明らかに関係ないIPは除外していくしかないと思うのですが、最初に、不要なIPアドレスは何らかの方法で排除して、自分で確認するIPの数が減ればよいかなと思いました。 それがフィルタの機能なのでしょうか。 なんかうまい方法ありますか。

  • Wiresharkのキャプチャログの検索方法

    WireSharkで現在作成している端末のTCPパケットを1時間ぐらいキャプチャしました。この1時間の間に3回ぐらい10分程度無通信状態の時間帯があるんですが、その時間を忘れてしまいました。この時間帯を検索したいのですが、ログの量が多すぎて見つけるのが難しくて困ってます。Filter検索とかで何時何分のパケットだけ表示する方法は無いでしょうか?

  • Wiresharkのパケットの詳細のテキストコピー

    Windows7のWireshark1.8.2の質問です。 画面キャプチャ http://sourceforge.jp/projects/wireshark/images?id=62 上記の画面での、上から二ペイン目(「Frame 11~」や、「Ethernet ~」,protocolなどが表示されている部分)に表示されているテキストを全部コピーしたいのですが、一行ずつしかコピーできません。 一ペイン目でエクスポートしたいパケットを選択して、 File->Export Objectを選ぼうとしてみても、Export Objectがグレーになっていて選択できません。 二ペイン目に表示されているテキストをそのまま全部コピーする方法はありませんか? よろしくお願いします。

  • パケットキャプチャについて

    パケットキャプチャについて wiresharkでパケットキャプチャをやっております。tcpでsynのパケットのみを収集したいのですが、現在では、 (1)ファイルの読み込み (2)フィルタの条件でtcp.flag.fin == 0 and tcp.fla.syn ==1 and tcp.flg.ack == 0 と入れフィルタリング。 (3)結果のファイルを保存 となって大変時間がかかります。cuiでコマンドライン上で一発ですませられる方法はありませんか?

  • wireshrekで特定のパケットデータの検索方法

    現在wiresharkで数十台のクライアント端末をサーバに接続させる通信テストを行っているのですが、この中の1台の通信が切れたりしているので、その原因の解析のためにwiresharkでパケットをキャプチャしているのですが、この端末を特定するためにこの端末が出力しているパケットを特定したいのですが、どのようにしたら良いでしょうか?この端末のパケットのデータには必ず00 1e 88 00というデータが入っているのですが、これをフィルタする方法を教えて下さい。お願い致します。 ちなみに、data matches 001e8800 というフィルタ条件を作ったのですが、これでは検索できませんでした。

  • Wiresharkでみるときの、1回のパケット

    Wiresharkでみるときの、1回のパケットを追う方法を探してます。 TCP通信にて、通信確立後にデータのやり取りをしている通信を数時間tcpdumpにて取得し、 Wiresharkで流れをみています。そのときに、1回のデータのやり取りと見るために方法を教えてください。 クライアントからのリクエストとサーバからのレスポンスで、 1回目クライアントからデータ送信し、 複数かいやり取りして、終了(200 OKを返却して) 2回目クライアントからデータ送信し、 複数かいやり取りして、終了(200 OKを返却して) という動作を繰り返してますが、 この1回目がここからここまでのパケット、2回目がここからここまでのパケットと知りたいのです。 なんとなくみると、ストリームNoなどもありますが、 ストリームNoが1回の通信後とのNoかとおもったら、 ストリームNoでフィルタしたら、 1回目5回目8回目・・と複数回のものが同じストリームNoであり、 どうゆうことだとうと疑問になってます。 詳しい方よろしくお願いします。

  • パケットアナライザ:プロトコル識別の仕組みとは

    ネットワーク初学者の学生です。 Wireshark等のスニッファー(Wiresharkしか使ったことないですが…)について疑問に思った事がありましたので質問します。 パケットをキャプチャしてユーザに表示してくれるアナライザには、プロトコルを自動判別して対応したパラメータをハイライト表示してくれる機能が付いていると思うのですが、あれはどういった仕組みで判別しているのでしょうか。 プロトコルの特徴をデータベース化し、パケット毎にデータベースと照合しているのかな、と想像してみたのですが、調べ方が悪いのかWireshark等の使い方を教えてくれるページしか探し当てることができないため、正解が分からずモヤモヤしています。 ご存知の方がいらっしゃいましたら教えて欲しいです。 よろしくお願いします。

  • X11というプロトコルのパケットをフィルタする方法

    現在、Wiresharkでサーバソフトが受信しているクライアント端末からのパケットを観測しています。 Wiresharkでは tcp.dstport == 5000 このようにTCP5000番ポート宛にパケットを、上記の条件式でフィルタして表示しています。 しかし、いくつかのクライアント端末からはTCPではなく、X11というプロトコルで来ているものがあります。宛先ポートも5000番です。 この場合、宛先5000番ポートに送信されているX11プロトコルのパケットをフィルタするための条件式はどのように書けばよいでしょうか? どうぞ、ご教示の程よろしくお願い致します。

  • snifferでのフィルタリング設定

    sniffer(スニファー)のキャプチャーする際に特定のIPセグメントのみをとる方法をご存知でしたら教えてください。 例えば支店として172.16.1.0~172.16.200.0までのネットワークがあるのですが、この内172.16.10.0の支店から出たパケットのみをキャプチャー使用と考えています。 キャプチャーのフィルター設定の項目でIPアドレスとして「172.16.10.0<->any」で入れると何も取れません。フィルタリングの設定を「any<->any」するとパケットは取れるのでフィルタリングだけの問題と思います。 また、支店端末のIPアドレスを全部登録(172.16.10.1~254まで)も考えましたがフィルタリングは10個ぐらいのアドレスしか定義できないらしいのです。 1支店(172.16.10.0)のIPセグメントのみキャプチャーできるようにする事は可能でしょうか? 因みにSnifferPro4.5です。 宜しくお願いします。

注目のQ&A

カテゴリ

専門家に質問してみよう

職業から探して質問する

あなたにピッタリな商品が見つかる! OKWAVEセレクト

質問する