Grenzen Sie den Bereich der Pakete, die Sie überwachen, ein, indem Sie das Dienstprogramm pktcap-uw verwenden, um Filteroptionen für die Quell- und Zieladresse, VLAN, VXLAN und das Nächste-Schicht-Protokoll anzuwenden, das die Nutzlast des Pakets verarbeitet.
Filteroptionen
Die Filteroptionen für pktcap-uw sind gültig für die Erfassung und Nachverfolgung von Paketen. Für Informationen zur Befehlssyntax des Dienstprogramms pktcap-uw siehe Befehlssyntax von pktcap-uw zum Erfassen von Paketen und Befehlssyntax von pktcap-uw zum Nachverfolgen von Paketen.
| Option | Beschreibung |
|---|---|
--srcmac mac_address |
Erfassen oder verfolgen Sie Pakete, die eine bestimmte MAC-Quelladresse haben. Trennen Sie die Oktette durch Doppelpunkte. |
--dstmac mac_address |
Erfassen oder verfolgen Sie Pakete, die eine bestimmte MAC-Zieladresse haben. Trennen Sie die Oktette durch Doppelpunkte. |
--mac mac_address |
Erfassen oder verfolgen Sie Pakete, die eine bestimmte MAC-Quell- oder Zieladresse haben. Trennen Sie die Oktette durch Doppelpunkte. |
--ethtype 0xEthertype |
Erfassen oder verfolgen Sie Pakete auf Schicht 2 entsprechend dem Nächste-Schicht-Protokoll, das die Nutzlast des Pakets verarbeitet. EtherType entspricht dem Feld „EtherType“ in den Ethernet-Frames. Es stellt den Typ des Nächste-Schicht-Protokolls dar, das die Rahmennutzlast verbraucht. Um beispielsweise Datenverkehr für das Link Layer Discovery Protocol (LLDP) zu überwachen, geben Sie --ethtype 0x88CC ein. |
--vlan VLAN_ID |
Erfassen oder verfolgen Sie Pakete, die zu einem VLAN gehören. |
--srcip IP_addess|IP_address/subnet_range |
Erfassen oder verfolgen Sie Pakete, die eine bestimmte IPv4-Quell- oder Subnetzadresse haben. |
--dstip IP_addess|IP_address/subnet_range |
Erfassen oder verfolgen Sie Pakete, die eine bestimmte IPv4-Ziel- oder Subnetzadresse haben. |
--ip IP_addess |
Erfassen oder verfolgen Sie Pakete, die eine bestimmte Quell- oder IPv4-Zieladresse haben. |
--proto 0xIP_protocol_number |
Erfassen oder verfolgen Sie Pakete auf Schicht 3 entsprechend dem Nächste-Schicht-Protokoll, das die Nutzlast verarbeitet. Um beispielsweise Datenverkehr für das UDP-Protokoll zu überwachen, geben Sie --proto 0x11 ein. |
--srcport source_port |
Erfassen oder verfolgen Sie Pakete ihrem Quell-TCP-Port entsprechend. |
--dstport destination_port |
Erfassen oder verfolgen Sie Pakete ihrem Ziel-TCP-Port entsprechend. |
--tcpport TCP_port |
Erfassen oder verfolgen Sie Pakete ihrem Quell- oder Ziel-TCP-Port entsprechend. |
--vxlan VXLAN_ID |
Erfassen oder verfolgen Sie Pakete, die zu einem VXLAN gehören. |
--rcf pcap_filter_expression |
Erfassen oder verfolgen Sie Pakete mithilfe des Rich-Common-Filterausdrucks. Um beispielsweise alle Ingress- und Egress-Pakete zu erfassen, deren IP-Inhaltslänge größer als 1000 Byte ist, verwenden Sie den Filterausdruck --rcf "ip[2:2]>1000". Verwenden Sie zur Auswahl einer bestimmten Quellhostadresse und Portnummer den Filterausdruck --rcf "src host 12.0.0.1 and port 5000". In diesem Beispiel wird Datenverkehr für die Hostadresse 12.0.0.1 mithilfe von Port 5000 gefiltert. Weitere Informationen zum Filtern des Netzwerkdatenverkehrs mit der Option
Hinweis: Beachten Sie bei Verwendung der Option
--rcf die folgenden Einschränkungen.
|
--rcf-tcp-data tcp_packet_data_filter |
Erfassen oder verfolgen Sie TCP-Datenpakete mithilfe des Rich-Common-Filterausdrucks. Beispiel: Verwenden Sie zum Erfassen aller HTTP/1.0-Antwortpakete mit 200 OK den Filterausdruck --rcf-tcp-data "HTTP/1.0 200 OK". Verwenden Sie den Filterausdruck --rcf-tcp-data "GET /index.html", um nach HTTP GET-Anforderungen zu filtern, die eine Datei vom Typ „index.html“ zurückgeben. |
Die vertikalen Balken | stellen alternative Werte dar.
