Kommentar
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Konvertera pktmon-loggfilen till pcapng-format. Borttagna paket ingår inte som standard. Dessa loggar kan analyseras med wireshark (eller valfri pcapng-analysator).
Syntax
pktmon etl2pcap <file> [--out <name>] [--drop-only] [--component-id <id>]
Där <file> är den ETL-fil som ska konverteras.
Parameters
| Parameter | Description |
|---|---|
| -o, --out <namn> | Namnet på den formaterade pcapng-filen. |
| -d, --drop-only | Konvertera endast borttagna paket. |
| -c, --component-id id <> | Filtrera paket efter ett specifikt komponent-ID. |
Output filtering
All information om paketborttagningsrapporterna och paketflödet via nätverksstacken går förlorad i pcapng-formatutdata. Logginnehållet bör noggrant förfiltreras för att visa den fullständiga konverteringen. For example:
- Pcapng-format skiljer inte mellan ett flödande paket och ett borttaget paket. Om du vill separera alla paket i insamlingen från borttagna paket genererar du två pcapng-filer. ett paket som innehåller alla paket (
pktmon etl2pcap log.etl --out log-capture.etl) och ett annat paket som endast innehåller borttagna paket (pktmon etl2pcap log.etl --drop-only --out log-drop.etl). På så sätt kan du analysera de borttagna paketen i en separat logg. - Pcapng-format skiljer inte mellan olika nätverkskomponenter där ett paket har avbildats. För sådana scenarier med flera lager anger du önskat komponent-ID i pcapng-utdata
pktmon etl2pcap log.etl --component-id 5. Upprepa det här kommandot för varje uppsättning komponent-ID:er som du är intresserad av.