Wireshark过滤器捕获问题

Question

6

我正在尝试使用以下选项从cli启动wireshark...

wireshark -k -i eth2 -a filesize:1000000 -f <capture filter>

我的问题是我想使用预定义的Wireshark过滤器...当我在cli cmd中运行上述命令并使用实际过滤器时，它可以正常工作；但当我使用预定义的过滤器时，它会失败。。。

有效示例：

wireshark -k -i eth2 -a filesize:1000000 -f "host 40.40.41.42"

失败示例（我正在尝试使用的）：

wireshark -k -i eth2 -a filesize:1000000 -f pre-defined-capture1

当在"捕获 -> 选项 -> 捕获过滤器"列表中找不到预定义的capture1过滤器时...

我得到的错误是该过滤器无效，如果可能的话，我想指定我保存在捕获过滤器列表中的过滤器...

有什么想法吗？

- gates

1个回答

网页内容由stack overflow 提供, 点击上面的

可以查看英文原文，
原文链接

- Praveen Vinny · Answer 1

当您选择“抓取 -> 抓取过滤器”时，将会弹出一个窗口，您可以在其中定义、修改和删除捕获过滤器以供将来使用。实际上您不能从那里激活捕获过滤器。

其中一个原因是某些捕获过滤器可能只适用于某些物理接口而不适用于其他接口。这就是为什么当您开始捕获会话时，您需要在捕获选项中激活捕获过滤器的原因之一。

进入“捕获 -> 选项”，使用“捕获过滤器”按钮选择预定义的捕获过滤器。或者只需在对话框中输入您需要的过滤器即可。

如果您正在使用 1.7.0 版本（或更高版本），您需要先双击要进行捕获的接口，因为从 1.7.0 开始，您可以同时在多个接口上进行捕获，并且您可以为每个接口单独设置捕获过滤器。