Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Convertissez le fichier journal pktmon au format pcapng. Les paquets supprimés ne sont pas inclus par défaut. Ces journaux peuvent être analysés à l’aide de Wireshark (ou de tout autre analyseur pcapng).
Syntax
pktmon etl2pcap <file> [--out <name>] [--drop-only] [--component-id <id>]
Où <file> est le fichier ETL à convertir.
Parameters
| Parameter | Description |
|---|---|
| -o, --out <nom> | Nom du fichier pcapng mis en forme. |
| -d, --drop-only | Convertir uniquement les paquets supprimés. |
| -c, --component-id id <> | Filtrer les paquets en fonction d’un ID de composant spécifique. |
Output filtering
Toutes les informations sur les rapports de suppression de paquets et le flux de paquets dans la pile réseau sont perdues dans la sortie au format pcapng. Le contenu du journal doit être soigneusement préfiltré pour montrer la conversion complète. For example:
- Le format Pcapng ne fait pas la distinction entre un paquet en cours d’écoulement et un paquet supprimé. Pour séparer tous les paquets de la capture des paquets supprimés, générez deux fichiers pcapng : un qui contient tous les paquets (
pktmon etl2pcap log.etl --out log-capture.etl), et un autre qui contient uniquement les paquets supprimés (pktmon etl2pcap log.etl --drop-only --out log-drop.etl). De cette façon, vous pouvez analyser les paquets supprimés dans un journal distinct. - Le format Pcapng ne fait pas la distinction entre les différents composants réseau dans lesquels un paquet a été capturé. Pour ces scénarios multicouches, spécifiez l’ID de composant souhaité dans la sortie pcapng
pktmon etl2pcap log.etl --component-id 5. Répétez cette commande pour chaque ensemble d’ID de composant qui vous intéresse.