Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Konvertiert die pktmon-Logdatei in das pcapng-Format. Verworfene Pakete sind standardmäßig nicht enthalten. Diese Protokolle können mit Wireshark (oder einem beliebigen pcapng-Analysetool) analysiert werden.
Syntax
pktmon etl2pcap <file> [--out <name>] [--drop-only] [--component-id <id>]
Wenn <file>
die zu konvertierende ETL-Datei ist.
Parameter
Parameter | Beschreibung |
---|---|
-o, --out <Name> | Name der formatierten pcapng-Datei. |
-d, --drop-only | Konvertiert nur verworfene Pakete. |
-c, --component-id <> | Filtern von Paketen nach einer bestimmten Komponenten-ID. |
Ausgabefilterung
In der pcapng-Formatausgabe sind keinerlei Informationen zu Berichten zu verworfenen Paketen sowie zum Paketfluss durch den Netzwerkstapel enthalten. Protokollinhalte müssen vorab sorgfältig gefiltert werden, um die vollständige Konvertierung anzuzeigen. Beispiel:
- Das pcapng-Format unterscheidet nicht zwischen einem übermittelten Paket und einem verworfenen Paket. Um alle Pakete in der Erfassung von verworfenen Paketen zu trennen, generieren Sie zwei pcapng-Dateien: eine mit allen Paketen (
pktmon etl2pcap log.etl --out log-capture.etl
) und eine, die nur die verworfenen Pakete enthält (pktmon etl2pcap log.etl --drop-only --out log-drop.etl
). Auf diese Weise können Sie die verworfenen Pakete in einem separaten Protokoll analysieren. - Das pcapng-Format unterscheidet nicht zwischen verschiedenen Netzwerkkomponenten, für die ein Paket erfasst wurde. Geben Sie für solche Szenarien mit mehreren Ebenen die gewünschte Komponenten-ID in der pcapng-Ausgabe
pktmon etl2pcap log.etl --component-id 5
an. Führen Sie diesen Befehl für alle Komponenten-IDs aus, an denen Sie interessiert sind.