Netzwerkanalyse, Fehlersuche, Testberichte
Home / News
Netzwerkanalyse
Grundlagen
Verkabelung
Erste Schritte
Baselining
Let's sniff
Tools
Auswerten/Filtern
Typische Probleme 1
Typische Probleme 2
Sicherheit
Bücher
Tutorials
Cacti
DSL einrichten
DynDNS einrichten
m0n0wall | pfSense
Nmap
VirtualBox
Wireshark
FAQ
Know How
Testberichte
Hardware-DB
Netzwerklexikon
Links / Service
Suche
Kontakt
Impressum
Feedback
Sitemap
Netzwerktechnik Forum

Forum Netzwerktechnik (Archiv)

Kategorie Netzwerktechnik - Forum Tools

 
Wireshark zeitgesteuerter Capture: möglich ?

geschrieben am 02.09.2009 um 08:06 von Mik

Hallo,

ist es möglich einen Capture in Wireshark zu einem bestimmten Zeitpunkt zu starten ?
Stoppen hab ich gefunden, größe der Files erreicht oder aber auch eine Zeit.

Ich würde gerne in einem Zeitfenster den Verkehr aufzeichnen z.B 3Uhr bis 4.30Uhr, nur finde ich irgenwie die richtige Option/Lösung nicht.

Gruß und Dank
Mik
 

geschrieben am 02.09.2009 um 18:08 von bewa

Re: Wireshark zeitgesteuerter Capture: möglich ?

"Mik" wrote:

ist es möglich einen Capture in Wireshark zu einem bestimmten Zeitpunkt zu starten ?


Jein. Wireshark ist letztlich für das Capturing "nur" das Frontend. Wahrscheinlich hat es noch keiner vermisst, sondern nutzt direkt Tshark oder TCPdump - siehe unten.

Quote:

Ich würde gerne in einem Zeitfenster den Verkehr aufzeichnen z.B 3Uhr bis 4.30Uhr, nur finde ich irgenwie die richtige Option/Lösung nicht.


Welches Betriebssystem?

Grundsätzlich gibt es mindestens zwei Möglichkeiten:

1) Du startest Tshark zeitgesteuert. Das ist die textbasierte Version von Wireshark, wenn man keine Grafikausgabe hat oder nutzen will. Da alle notwendigen Parameter übergeben werden können, kann man das Ganze zur gewünschten Uhrzeit anstoßen.

2) Du rufst direkt die Capturing-Engine, z.B. tcpdump, direkt per cron, scheduler, etc. direkt auf und fütterst Wireshark erst später mit dem Ergebnis. Was man beachten muss, sollte in der Wireshark-Doku stehen oder per google zu finden sein. Letzlich sind tshark und Wireshark für die Aufzeichnung auch "nur" Frontends.
 

geschrieben am 03.09.2009 um 07:53 von Mik

Vielen Dank bewa,

du hast mir super weiter geholfen.

Achja: BS = XP SP3

Gruß
Mik
 

geschrieben am 03.09.2009 um 14:03 von bewa

"Mik" wrote:

BS = XP SP3


Ok, ich nutze Wireshark fast nie unter Windows. Aber das sollte auch gehen. Wie beschrieben hast du mindestens zwei Möglichkeiten:

1) Direkt capturen. Also WinPCAP zeitgesteuert "selber" starten, statt Wireshark das zu überlassen.

2) TShark benutzen. Für Windows gibt es auch noch was anderes - dumpcap.exe oder so ähnlich?!

google spuckte gerade noch folgendes aus:

http://www.tracecommander.net/product/htm/ger/_0/CaptureWizard.htm

Scheinbar kann man damit genau das machen, was du machen möchtest.
 

geschrieben am 10.09.2009 um 10:54 von Mik

Hallo zusammen,

möchte noch meine Lösung nachreichen.

hab nach denn guten Hinweisen und Tips folgendes gefunden:

http://www.syn-wiki.de/LAN-WAN-Analysis/htm/ger/_0/TShark.htm

hab mir ne batch geschirieben und lasse die über den scheduler laufen.
werde jetzt (noch nicht realisiert) noch einbauen das die letzten Files immer gelöscht werden. so hab ich immer nur ein File in dem ich nachschauen muss, wann wie und wo der Fehler des absturzes passiert ist.

nochmal Danke und Tschö

mik
 

[ Dieses Thema im Live-Forum aufrufen ]

Sie befinden sich im Archiv des Forums.
Zum Forum

Archiv erstellt mit phpBB2HTML 0.1 - Foren in statisches HTML umwandeln © 2006 Mirko Kulpa

 

 
© 2004-2023, network lab - we make your net work - Netzwerkforum
aktualisiert am 13.05.2019