はじめに
このドキュメントは、Wireshark を使用して、継続したパケットキャプチャを行う方法を提供します。
概要
トラブルシューティングの過程で、問題が発生した際のパケットキャプチャが必要になるケースがあります。ですが、ツールバーの「開始」ボタンを押した場合、「停止」ボタンを押すまでキャプチャが行われ、事象再現時までキャプチャを行うことは現実的ではありません。
このドキュメントではリングバッファを用いて、一定量のキャプチャファイルを作成する手段を説明します。
リングバッファを用いたパケットキャプチャ
「メニュー」の「キャプチャ(C)」に含まれる「オプション・・・(O)」を選択します。
開いたキャプチャインターフェースウィンドウの「出力」タブを選択します。選択すると以下のような画面になります.
設定項目は下記の通りです。
保存ファイルにキャプチャ:ファイル名を指定します.
出力形式:出力ファイルの形式を選択します。pcap-ng 形式と pcap 形式が選択できます
・・・後に自動的に新ファイルを作成します:一定のサイズ、もしくは一定の時間が経過後に新規ファイルを作成します
リングバッファを用いる:作成されるファイル数を指定します。
上記の例では二つの1000キロバイトのキャプチャファイルが作成されます。古いものは自動的に削除されます。
キャプチャファイルのサイズの抑制について
リングバッファを用いても、設定や通信状況によってはファイルサイズが大きくなったり、事象発生時のファイルが削除される事が想定されます。
Capture Filter を使用してキャプチャするパケットを制限することで、キャプチャファイルのサイズを抑制することが可能です。
キャプチャーインターフェースウィンドウの「入力」タブの最下部でキャプチャフィルタを設定可能です。
上記の例では送信元が 192.168.0.0/24 のネットワーク、且つあて先が172.16.0.0/24 のパケットのみをキャプチャするフィルタを設定しています。
なお、Capture Filter の書式については公式の Wiki ページを参照下さい。
- CaptureFilters - Wireshark Wiki
備考
このドキュメントの情報は、2017 年 11 月の時点でのものとなります。このドキュメントの内容について予告なく変更される場合があります。
(作成日:2017 年 11 月 17 日)
(更新日:ー)
検索バーにキーワード、フレーズ、または質問を入力し、お探しのものを見つけましょう
シスコ コミュニティをいち早く使いこなしていただけるよう役立つリンクをまとめました。みなさんのジャーニーがより良いものとなるようお手伝いします
