Kategorie Netzwerktechnik - Forum Tools
Capture File von Wireshark splitten
geschrieben am 17.09.2009 um 12:25 von Austin Powers
Ich habe Wireshark vier Tage protokollieren lassen (ca. 250 MB). Ist es nun nachträglich möglich, das Capture File in mehrere kleinere Dateien aufzuteilen? Es dauert nun doch sehr lange, wenn nachträglich Filter gesetzt werden oder auch, wenn die Datei im Wireshark wieder eingelesen wird.
geschrieben am 19.09.2009 um 11:33 von bewa
Re: Capture File von Wireshark splitten
Ich habe Wireshark vier Tage protokollieren lassen (ca. 250 MB). Ist es nun nachträglich möglich, das Capture File in mehrere kleinere Dateien aufzuteilen?
Es gibt ein CLI-Tool namens editcap, mit dem man Capture Files z.B. nach der Anzahl an Paketen in Häppchen splitten kann:
http://www.wireshark.org/docs/man-pages/editcap.html
Wenn du häufiger lang laufende Dumps anfertigen musst, kannst du mal einen Blick auf das dafür gedachte CLI-Tool namens dumpcap werfen.
http://www.wireshark.org/docs/man-pages/dumpcap.html
Das kann z.B. die Dateien automatisch splitten oder mit einem Ringpuffer arbeiten. (Ist auch immer dann interessant, wenn man das Capturen nicht über die GUI, sondern z.B. zeitgesteuert starten möchte.)
geschrieben am 21.09.2009 um 08:14 von Austin Powers
Hey, super! Genau das war's!
Manchmal muss man ja nur die Augen aufmachen, dann würde man editcap glatt im Verzeichnis von Wireshark finden ;-)
Danke für den Tipp!
[ Dieses Thema im Live-Forum aufrufen ]
|