Pktmon filter add 可讓您新增篩選來控制要報告哪些封包。 若要報告封包,它必須至少符合一個篩選中指定的所有條件。 最多可同時啟動 32 個篩選。
語法
pktmon filter add <name> [-m <mac> [mac2]] [-v <vlan>] [-d { IPv4 | IPv6 | number }]
[-t { TCP [flags...] | UDP | ICMP | ICMPv6 | number }]
[-i <ip> [ip2]] [-p <port> [port2]] [-b] [-e [port]]
您可以提供篩選的選擇性名稱或描述。
注意
當指定兩個 MACs (-m)、IPs (-i) 或連接埠 (-p) 時,篩選會比對包含這兩者的封包。 為此目的,它不會區分來源或目的地。
參數
您可以提供乙太網路框架、IP 標頭、TCP/UDP 標頭、叢集活動訊號和封裝的參數。
| 參數 | 說明 |
|---|---|
| -m, --mac[-address] | 比對來源或目的地 MAC 位址。 請參閱上方的附註。 |
| -v, --vlan | 比對 802.1Q 標頭中的 VLAN 識別碼 (VID)。 |
| -d, --data-link[-protocol], --ethertype | 根據資料連結 (第 2 層) 協定進行比對。 可以是 IPv4、IPv6、ARP 或通訊協定號碼。 |
| -t, --transport[-protocol], --ip-protocol | 根據傳輸 (第 4 層) 協定進行比對。 可以是 TCP、UDP、ICMP、ICMPv6 或通訊協定號碼。 若要進一步篩選 TCP 封包,可以提供要比對的選擇性 TCP 旗標清單。 支援的旗標為 FIN、SYN、RST、PSH、ACK、URG、ECE 和 CWR。 |
| -i, --ip[-address] | 比對來源或目的地 IP 位址。 請參閱上方的附註。 若要根據子網路比對,請使用具有前置長度的 CIDR 表示法。 |
| -p, --port | 比對來源或目的地連接埠號碼。 請參閱上方的附註。 |
| -b, --heartbeat | 透過 UDP 連接埠 3343 比對 RCP 活動訊號。 |
| -e, --encap | 將上述篩選參數套用至內部和外部封裝標頭。 支援的封裝方法是 VXLAN、GRE、NVGRE 和 IP-in-IP。 自訂 VXLAN 連接埠是選擇性的,預設為 4789。 |
範例
以下一組篩選器將擷取來自或流向 IP 位址 10.0.0.10 的任何 ICMP 流量以及連接埠 53 上的任何流量。
C:\Test> pktmon filter add -i 10.0.0.10 -t icmp
C:\Test> pktmon filter add -p 53
下列篩選條件會擷取 IP 位址10.0.0.0.10 所傳送或接收的所有 SYN 封包:
C:\Test> pktmon filter add -i 10.0.0.10 -t tcp syn
以下名為 MyPing 的篩選使用 ICMP 協定 ping 10.10.10.10:
C:\Test> pktmon filter add MyPing -i 10.10.10.10 -t ICMP
以下名為 MySmbSyb 的篩選會擷取 TCP 同步的 SMB 流量:
C:\Test> pktmon filter add MySmbSyn -i 10.10.10.10 -t TCP SYN -p 445
以下名為 MySubnet 的篩選會擷取子網路遮罩 255.255.255.0 或 CIDR 表示法中的 /24 流量:
C:\Test> pktmon filter add MySubnet -i 10.10.10.0/24