Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Преобразуйте файл журнала pktmon в формат pcapng. Удаленные пакеты по умолчанию не включаются. Эти журналы можно анализировать с помощью Wireshark (или любого анализатора pcapng).
Syntax
pktmon etl2pcap <file> [--out <name>] [--drop-only] [--component-id <id>]
Где <file> находится файл ETL для преобразования.
Parameters
| Parameter | Description |
|---|---|
| -o, --out <имя> | Имя отформатированного pcapng-файла. |
| -d, --drop-only | Преобразуйте только удаленные пакеты. |
| -c, --component-id id <> | Фильтрация пакетов по определенному идентификатору компонента. |
Output filtering
Все сведения о отчетах об удалении пакетов и потоке пакетов через сетевой стек теряются в выходных данных формата pcapng. Содержимое журнала должно быть тщательно профилировано для отображения полного преобразования. For example:
- Формат Pcapng не отличается от потока пакета и удаленного пакета. Чтобы разделить все пакеты в записи от удаленных пакетов, создайте два pcapng-файла; один из них содержит все пакеты (
pktmon etl2pcap log.etl --out log-capture.etl) и другой, содержащий только удаленные пакеты (pktmon etl2pcap log.etl --drop-only --out log-drop.etl). Таким образом вы можете проанализировать удаленные пакеты в отдельном журнале. - Формат Pcapng не отличается от различных сетевых компонентов, в которых был записан пакет. Для таких многоуровневых сценариев укажите идентификатор требуемого компонента в выходных данных
pktmon etl2pcap log.etl --component-id 5pcapng. Повторите эту команду для каждого набора идентификаторов компонентов, которые вам нужны.