我已经在网上寻找有关如何过滤信息列的教程,但找不到任何有意义的内容。
我想过滤所有信息列包含文本“insitu-conf”但无法找出方法的日志。请帮忙。
你实际上不能直接这样做。不过,info 列是根据数据包的属性解码的,您可以过滤这些将具有完全相同的效果。唯一的区别是您必须弄清楚wireshark 使用什么信息来创建该信息行,这可能是不直观的。
在此示例中,“insitu-conf”是端口 1490 的端口别名(grep insitu-conf /etc/services),因此 wireshark 告诉您这是从远程端口 51811 到本地端口 1490 的数据包。因此,过滤器捕获这些数据包将是'dst port = 1490'。
在其他情况下,可能会有一个更具描述性的信息行,它来自数据包的几个属性,包括端口和一些数据——例如,端口 80 上的 http 请求将有一个信息行,实际上包括第一个http请求的行。
您可以使用 Microsoft 网络监视器来解决问题。
在 Microsoft 网络监视器中打开您的文件。
右键单击“描述”列中的项目,然后从上下文菜单中选择“将“描述”添加到显示过滤器”。
显示过滤器被添加到过滤器窗口。
点击过滤器工具栏上的应用按钮。
例子:
Description == "HTTP:Request, GET / "
Description.contains("Request")
Description.contains("insitu-conf")
http.request.uri
匹配“insitu-conf”也应该有效。