Réduisez l'éventail de paquets que vous surveillez à l'aide de l'utilitaire pktcap-uw afin d'appliquer des options de filtrage en fonction des adresses source et de destination, du VLAN, du VXLAN et du protocole de niveau suivant qui consomme la charge utile de paquets.

Options de filtre

Les options de filtre pour pktcap-uw sont valides lorsque vous capturez et suivez des paquets. Pour plus d'informations sur la syntaxe de commande de l'utilitaire pktcap-uw, consultez Syntaxe de la commande pktcap-uw pour la capture de paquets et Syntaxe de la commande pktcap-uw pour le suivi de paquets.

Tableau 1. Options de filtre de l'utilitaire pktcap-uw
Option Description
--srcmac mac_address Capturez ou suivez les paquets qui ont une adresse MAC source spécifique. Séparez les octets en utilisant deux points « : ».
--dstmac mac_address Capturez ou suivez les paquets qui ont une adresse MAC de destination spécifique. Séparez les octets en utilisant deux points « : ».
--mac mac_address Capturez ou suivez les paquets qui ont une adresse MAC source ou de destination spécifique. Séparez les octets en utilisant deux points « : ».
--ethtype 0xEthertype

Capturez ou suivez les paquets de couche 2 en fonction du protocole de niveau suivant qui consomme la charge utile des paquets.

EtherType correspond au champ EtherType des trames Ethernet. Il désigne le type de protocole de niveau suivant qui consomme la charge utile de la trame.

Par exemple, pour surveiller le trafic du protocole LLDP (Link Layer Discovery Protocol), tapez --ethtype 0x88CC.

--vlan VLAN_ID Capturez ou suivez les paquets appartenant à un VLAN.
--srcip IP_addess|IP_address/subnet_range Capturez ou suivez les paquets qui ont un sous-réseau ou une adresse IPv4 source spécifique.
--dstip IP_addess|IP_address/subnet_range Capturez ou suivez les paquets qui ont un sous-réseau ou une adresse IPv4 de destination spécifique.
--ip IP_addess Capturez ou suivez les paquets qui ont une adresse IPv4 source ou de destination spécifique.
--proto 0xIP_protocol_number

Capturez ou suivez les paquets de couche 3 en fonction du protocole de niveau suivant qui consomme la charge utile.

Par exemple, pour surveiller le trafic pour le protocole UDP, tapez --proto 0x11.

--srcport source_port Capturez ou suivez les paquets en fonction de leur port TCP source.
--dstport destination_port Capturez ou suivez les paquets en fonction de leur port TCP de destination.
--tcpport TCP_port Capturez ou suivez les paquets en fonction de leur port TCP source ou de destination.
--vxlan VXLAN_ID Capturez ou suivez les paquets appartenant à un VXLAN.
--rcf pcap_filter_expression

Capturez ou suivez les paquets à l'aide de l'expression de filtre commune enrichie.

Par exemple, pour capturer tous les paquets d'entrée et de sortie dont la longueur du contenu de l'adresse IP est supérieure à 1 000 octets, utilisez l'expression de filtre --rcf "ip[2:2]>1000".

Pour sélectionner une adresse d'hôte source et un numéro de port spécifiques, utilisez l'expression de filtre --rcf "src host 12.0.0.1 and port 5000". Cet exemple filtre le trafic pour l'adresse de l'hôte 12.0.0.1 à l'aide du port 5000.

Pour en savoir plus sur le filtrage du trafic réseau avec l'option --rcf, reportez-vous à la documentation sur les expressions de filtre PCAP à l'aide d'analyseurs de paquets de ligne de commande, tels que tcpdump. Reportez-vous à la section pcap-filter - Syntaxe de filtre de paquets.

Note : Lorsque vous utilisez l'option --rcf, respectez les limitations suivantes.
  • Ne filtrez pas les paquets VLAN à l'aide de l'option --rcf. Pour suivre l'utilisation du VLAN ou du VXLAN, utilisez les options pktcap-uw --vlan ou --vxlan.
  • Ne filtrez pas une adresse de diffusion IP.
  • N'utilisez pas --rcf sur les ports ENS.
--rcf-tcp-data tcp_packet_data_filter

Capturez ou suivez les paquets de données TCP à l'aide de l'expression de filtre commune enrichie.

Par exemple, pour capturer tous les paquets de réponse HTTP/1.0 avec 200 OK, utilisez l'expression de filtre --rcf-tcp-data "HTTP/1.0 200 OK".

Pour filtrer des demandes HTTP GET renvoyant un fichier index.html, utilisez l'expression de filtre --rcf-tcp-data "GET /index.html".

Les barres verticales | représentent les valeurs alternatives.