pktmon etl2pcap
pktmon 로그 파일을 pcapng 형식으로 변환합니다. 삭제된 패킷은 기본적으로 포함되지 않습니다. 이러한 로그는 Wireshark(또는 pcapng 분석기)를 사용하여 분석할 수 있습니다.
구문
pktmon etl2pcap <file> [--out <name>] [--drop-only] [--component-id <id>]
여기서 <file>은(는) 변환할 ETL 파일입니다.
매개 변수
| 매개 변수 | 설명 |
|---|---|
| -o, --out <name> | 서식이 지정된 pcapng 파일의 이름입니다. |
| -d, --drop-only | 삭제된 패킷만 변환합니다. |
| -c, --component-id <id> | 특정 구성 요소 ID로 패킷을 필터링합니다. |
출력 필터링
패킷 드롭 보고서 및 네트워킹 스택을 통한 패킷 흐름에 대한 모든 정보는 pcapng 형식 출력에서 손실됩니다. 로그 콘텐츠는 완전한 변환을 표시하기 위해 신중하게 사전 필터링되어야 합니다. 예시:
- Pcapng 형식은 흐르는 패킷과 삭제된 패킷을 구분하지 않습니다. 캡처의 모든 패킷과 삭제된 패킷을 분리하려면 모든 패킷이 포함된 파일(
pktmon etl2pcap log.etl --out log-capture.etl)과 삭제된 패킷만 포함된 파일(pktmon etl2pcap log.etl --drop-only --out log-drop.etl) 두 개를 생성합니다. 이렇게 하면 삭제된 패킷을 별도의 로그에서 분석할 수 있습니다. - Pcapng 형식은 패킷이 캡처된 다른 네트워킹 구성 요소를 구분하지 않습니다. 이러한 다중 계층 시나리오의 경우 pcapng 출력
pktmon etl2pcap log.etl --component-id 5에서 원하는 구성 요소 ID를 지정합니다. 관심 있는 각 컴포넌트 ID 집합에 대해 이 명령을 반복합니다.