Reduza o intervalo de pacotes que você monitora usando o utilitário pktcap-uw para aplicar opções de filtragem para endereço de origem e destino, VLAN, VXLAN e protocolo de próximo nível que consome a carga do pacote.

Opções de filtro

As opções de filtro para pktcap-uw são válidas quando você captura e rastreia pacotes. Para obter informações sobre a sintaxe de comando do utilitário pktcap-uw , consulte Sintaxe de comando pktcap-uw para pacotes de captura e Sintaxe do comando pktcap-uw para pacotes de rastreamento.

Tabela 1. Opções de filtro do utilitário pktcap-uw
Opção Descrição
--srcmac mac_address Capture ou rastreie pacotes que tenham um endereço MAC de origem específico. Use dois pontos para separar os octetos nele.
--dstmac mac_address Capture ou rastreie pacotes que tenham um endereço MAC de destino específico. Use dois pontos para separar os octetos nele.
--mac mac_address Capture ou rastreie pacotes que tenham um endereço MAC de origem ou de destino específico. Use dois pontos para separar os octetos nele.
--ethtype 0x Ethertype

Capture ou rastreie pacotes na Camada 2 de acordo com o próximo protocolo de nível que consome a carga do pacote.

EtherType corresponde ao campo EtherType em quadros Ethernet. Ele representa o tipo de protocolo de próximo nível que consome a carga útil do quadro.

Por exemplo, para monitorar o tráfego para o protocolo LLDP (Link Layer Discovery Protocol), digite - ethtype 0x88CC .

--vlan VLAN_ID Capture ou rastreie pacotes que pertencem a uma VLAN.
--srcip IP_addess | IP_address / subnet_range Capture ou rastreie pacotes que tenham um endereço IPv4 de origem específico ou uma sub-rede.
--dstip IP_addess | IP_address / subnet_range Capture ou rastreie pacotes que tenham um endereço ou sub-rede IPv4 de destino específico.
--ip IP_addess Capture ou rastreie pacotes que tenham um endereço IPv4 de origem ou de destino específico.
--proto 0x IP_protocol_number

Capture ou rastreie pacotes na camada 3 de acordo com o próximo protocolo de nível que consome a carga útil.

Por exemplo, para monitorar o tráfego para o protocolo UDP, digite - proto 0x11 .

--srcport source_port Capture ou rastreie pacotes de acordo com a porta TCP de origem.
--dstport destination_port Capture ou rastreie pacotes de acordo com a porta TCP de destino.
--tcpport TCP_porta Capture ou rastreie pacotes de acordo com sua porta TCP de origem ou de destino.
--vxlan VXLAN_ID Capture ou rastreie pacotes que pertencem a uma VXLAN.
--rcf pcap_filter_expression

Capture ou rastreie pacotes usando a expressão de filtro comum avançada.

Por exemplo, para capturar todos os pacotes de entrada e saída cujo comprimento de conteúdo IP é maior que 1000 bytes, use a expressão de filtro - rcf "ip [2: 2]> 1000" .

Para selecionar um endereço de host de origem e um número de porta específicos, use a expressão de filtro - rcf "src host 12.0.0.1 and port 5000" . Este exemplo filtra o tráfego para o endereço de host 12.0.0.1 usando a porta 5000.

Para saber mais sobre como filtrar o tráfego de rede com a opção --rcf, consulte a documentação para expressões de filtro pcap usando analisadores de pacote de linha de comando, como tcpdump. Consulte pcap-filter - Sintaxe do filtro de pacotes .

Observação: Ao usar a opção --rcf, obedeça às seguintes limitações.
  • Não filtre pacotes VLAN usando a opção --rcf. Para rastrear VLAN ou VXLAN, use as opções pktcap-uw --vlan ou --vxlan.
  • Não filtre um endereço de transmissão IP.
  • Não use --rcf nas portas ENS.
--rcf-tcp-data tcp_packet_data_filter

Capture ou rastreie pacotes de dados TCP usando a expressão de filtro comum avançado.

Por exemplo, para capturar todos os pacotes de resposta HTTP / 1.0 com 200 OK, use a expressão de filtro - rcf-tcp-data "HTTP / 1.0 200 OK" .

Para filtrar as solicitações HTTP GET que retornam um arquivo index.html, use a expressão de filtro - rcf-tcp-data "GET /index.html" .

As barras verticais | representam valores alternativos.