Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Convertir el archivo de registro pktmon al formato pcapng. Los paquetes perdidos no se incluyen de forma predeterminada. Estos registros se pueden analizar mediante Wireshark (o cualquier analizador de pcapng).
Syntax
pktmon etl2pcap <file> [--out <name>] [--drop-only] [--component-id <id>]
Donde <file> es el archivo ETL que se va a convertir.
Parameters
| Parameter | Description |
|---|---|
| -o, --out <nombre> | Nombre del archivo pcapng con formato. |
| -d, --drop-only | Convertir solo los paquetes perdidos. |
| -c, --component-id id <> | Filtra los paquetes por un id. de componente específico. |
Output filtering
Toda la información sobre los informes de colocación de paquetes y el flujo de paquetes a través de la pila de conexión de red se perderá en la salida en formato pcapng. El contenido del registro debe estar cuidadosamente filtrado previamente para mostrar la conversión completa. For example:
- El formato pcapng no distingue entre un paquete en flujo y un paquete descartado. Para separar todos los paquetes en la captura de los paquetes descartados, genere dos archivos pcapng; uno que contenga todos los paquetes (
pktmon etl2pcap log.etl --out log-capture.etl) y otro que contenga solo los paquetes descartados (pktmon etl2pcap log.etl --drop-only --out log-drop.etl). De este modo, puede analizar los paquetes descartados en un registro independiente. - El formato pcapng no distingue entre distintos componentes de conexión de red en los que se capturó un paquete. Para estos escenarios multicapa, especifique el id. de componente deseado en la salida de pcapng
pktmon etl2pcap log.etl --component-id 5. Repita este comando para cada conjunto de id. de componentes que le interesen.