Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Converta o arquivo de log pktmon no formato pcapng. Os pacotes removidos não são incluídos por padrão. Esses logs podem ser analisados usando o Wireshark (ou qualquer analisador pcapng).
Syntax
pktmon etl2pcap <file> [--out <name>] [--drop-only] [--component-id <id>]
Onde <file> é o arquivo ETL a ser convertido.
Parameters
| Parameter | Description |
|---|---|
| -o, --out <nome> | Nome do arquivo pcapng formatado. |
| -d, --drop-only | Converte somente os pacotes removidos. |
| -c, --component-id <id id> | Filtra os pacotes por uma ID de componente específica. |
Output filtering
Todas as informações sobre os relatórios de descarte de pacotes e o fluxo de pacotes pela pilha de rede são perdidas na saída do formato pcapng. O conteúdo do log deve ser cuidadosamente pré-filtrado para mostrar a conversão completa. For example:
- O formato pcapng não distingue entre o fluxo de pacote e a remoção de pacote. Para separar todos os pacotes na captura de pacotes removidos, gere dois arquivos pcapng: um que contém todos os pacotes (
pktmon etl2pcap log.etl --out log-capture.etl) e outro que contém apenas pacotes removidos (pktmon etl2pcap log.etl --drop-only --out log-drop.etl). Dessa forma, você pode analisar os pacotes descartados em um log separado. - O formato pcapng não distingue entre os diferentes componentes de rede em que um pacote foi capturado. Para esses cenários multicamadas, especifique a ID do componente desejado na saída do pcapng
pktmon etl2pcap log.etl --component-id 5. Repita este comando para cada conjunto de IDs de componente em que você está interessado.