Restrinja o intervalo de pacotes que você monitora usando o utilitário pktcap-uw para aplicar opções de filtragem para endereço de origem e destino, VLAN, VXLAN e protocolo de próximo nível que consome o payload do pacote.

Opções de filtro

As opções de filtro para pktcap-uw são válidas quando você captura e rastreia pacotes. Para obter informações sobre a sintaxe de comando do utilitário pktcap-uw, consulte Sintaxe do comando pktcap-uw para capturar pacotes e Sintaxe do comando pktcap-uw para rastreamento de pacotes.

Tabela 1. Opções de filtro do utilitário pktcap-uw
Opção Descrição
--srcmac mac_address Capture ou rastreie pacotes que tenham um endereço MAC de origem específico. Use dois-pontos para separar os octetos nele.
--dstmac mac_address Capture ou rastreie pacotes que tenham um endereço MAC de destino específico. Use dois-pontos para separar os octetos nele.
--mac mac_address Capture ou rastreie pacotes que tenham um endereço MAC de origem ou destino específico. Use dois-pontos para separar os octetos nele.
--ethtype 0xEthertype

Capture ou rastreie pacotes na camada 2 de acordo com o protocolo de próximo nível que consome o payload do pacote.

EtherType corresponde ao campo EtherType nos quadros Ethernet. Ele representa o tipo de protocolo de próximo nível que consome o payload do quadro.

Por exemplo, para monitorar o tráfego do protocolo Link Layer Discovery Protocol (LLDP), digite --ethtype 0x88CC.

--vlan VLAN_ID Capture ou rastreie pacotes que pertencem a uma VLAN.
--srcip IP_addess|IP_address/subnet_range Capture ou rastreie pacotes que tenham um endereço IPv4 de origem específico ou uma sub-rede.
--dstip IP_addess|IP_address/subnet_range Capture ou rastreie pacotes que tenham um endereço IPv4 de destino específico ou uma sub-rede.
--ip IP_addess Capture ou rastreie pacotes que tenham um endereço IPv4 de origem ou destino específico.
--proto 0xIP_protocol_number

Capture ou rastreie pacotes na camada 3 de acordo com o protocolo de próximo nível que consome o payload.

Por exemplo, para monitorar o tráfego do protocolo UDP, digite --proto 0x11.

--srcport source_port Capture ou rastreie pacotes de acordo com sua porta TCP de origem.
--dstport destination_port Capture ou rastreie pacotes de acordo com a porta TCP de destino.
--tcpport TCP_port Capture ou rastreie pacotes de acordo com sua porta TCP de origem ou destino.
--vxlan VXLAN_ID Capture ou rastreie pacotes que pertencem a uma VXLAN.
--rcf pcap_filter_expression

Capture ou rastreie pacotes usando a expressão de filtro comum avançada.

Por exemplo, para capturar todos os pacotes de entrada e saída cujo comprimento de conteúdo IP seja maior que 1.000 bytes, use a expressão de filtro --rcf "ip[2:2]>1000".

Para selecionar um endereço de host de origem e um número de porta específicos, use a expressão de filtro --rcf "src host 12.0.0.1 and port 5000". Este exemplo filtra o tráfego para o endereço de host 12.0.0.1 usando a porta 5000.

Para saber mais sobre como filtrar o tráfego de rede com a opção --rcf, consulte a documentação para expressões de filtro pcap usando analisadores de pacotes de linha de comando, como tcpdump. Consulte pcap-filter - sintaxe do filtro de pacotes.

Observação: Ao usar a opção --rcf, obedeça às seguintes limitações.
  • Não filtre pacotes de VLAN usando a opção --rcf. Para rastrear VLAN ou VXLAN, use as opções pktcap-uw --vlan ou --vxlan.
  • Não filtre um endereço de broadcast IP.
  • Não use --rcf em portas do ENS.
--rcf-tcp-data tcp_packet_data_filter

Capture ou rastreie pacotes de dados TCP usando a rica expressão de filtro comum.

Por exemplo, para capturar todos os pacotes de resposta HTTP/1.0 com 200 OK, use a expressão de filtro --rcf-tcp-data "HTTP/1.0 200 OK".

Para filtrar as solicitações HTTP GET que retornam um arquivo index.html, use a expressão de filtro --rcf-tcp-data "GET /index.html".

As barras verticais | representam valores alternativos.