-a <capture autostop condition>
Angiv et kriterium, der angiver, hvornår Wireshark skal stoppe med at skrive til en capture-fil. Kriteriet er af formen test:værdi, hvor teser et af følgende:
Stop med at skrive til en opsamlingsfil, når værdi af sekunder er gået.
filstørrelse:værdi
Stop med at skrive til en opsamlingsfil, når den når en størrelse på værdiekilobyte (hvor en kilobyte er 1000 byte, ikke 1024 byte). Hvis denne indstilling bruges sammen med indstillingen -b, vil Wireshark stoppe med at skrive til den aktuelle opsamlingsfil og skifte til den næste, hvis filesize er nået.
files:value
Stop med at skrive til opsamlingsfiler efter værdi antal filer blev skrevet.
-b <capture ringbuffer option>
Hvis der blev angivet en maksimal opsamlingsfilstørrelse, får denne indstilling Wireshark til at køre i “ringbuffer”-tilstand med det angivne antal filer. I “ringbuffer”-tilstand vil Wireshark skrive til flere opsamlingsfiler. Deres navn er baseret på filens nummer og på oprettelsesdato og -tidspunkt.
Når den første capture-fil er fyldt op, skifter Wireshark til at skrive til den næste fil, indtil den sidste fil er fyldt op, hvorefter Wireshark kasserer dataene i den første fil (medmindre 0 er angivet, i hvilket tilfælde antallet af filer er ubegrænset) og begynder at skrive til den fil og så videre.
Hvis den valgfrie varighed er angivet, vil Wireshark også skifte til den næste fil, når det angivne antal sekunder er gået, selv om den aktuelle fil ikke er helt fyldt op.
Skifter til den næste fil, når værdi sekunder er gået, selv om den aktuelle fil ikke er helt fyldt op.
filstørrelse:værdi
Skifter til den næste fil, når den har nået en størrelse på værdi kilobyte (hvor en kilobyte er 1000 byte, ikke 1024 byte).
files:value
Begynd igen med den første fil efter værdi antal filer blev skrevet (danner en ringbuffer).
-B <capture buffer size (kun Win32)>
Kun Win32: Indstil capture buffer-størrelse (i MB, standard er 1 MB). Dette bruges af capture-driveren til at buffe pakkedata, indtil disse data kan skrives til disken. Hvis du oplever pakkefald under opfangning, skal du prøve at øge denne størrelse.
-c <capture packet count>
Denne indstilling angiver det maksimale antal pakker, der skal opfanges, når der opfanges live-data. Den vil blive brugt i forbindelse med indstillingen -k.
-D
Udskriv en liste over de grænseflader, som Wireshark kan optage, og afslutte. For hver netværksgrænseflade udskrives et nummer og et grænsefladenavn, eventuelt efterfulgt af en tekstbeskrivelse af grænsefladen. Grænsefladenavnet eller nummeret kan angives med -i-flaget for at angive en grænseflade, som skal opsamles på.
Dette kan være nyttigt på systemer, der ikke har en kommando til at liste dem (f.eks. Windows-systemer eller UNIX-systemer, der mangler ifconfig -a); nummeret kan være nyttigt på Windows 2000 og nyere systemer, hvorinterface-navnet er en noget kompleks streng.
Bemærk, at “can capture” betyder, at Wireshark var i stand til at åbne den pågældende enhed for at foretage en live capture; hvis et program, der foretager en netværksoptagelse, på dit system skal køres fra en konto med særlige rettigheder (f.eks. som root), så vil Wireshark, hvis det køres med -D-flaget og ikke køres fra en sådan konto, ikke liste nogen grænseflader.
-f <capture filter>
Denne indstilling indstiller det indledende capture-filterudtryk, der skal bruges, når pakker opfanges.
-g <pakkenummer>
Efter læsning i en opsamlingsfil ved hjælp af -r-flaget, skal du gå til det angivne pakkenummer.
-h
Med indstillingen -h anmodes Wireshark om at udskrive sin version og brugsanvisninger (som vist ovenfor) og afslutte.
-i <capture interface>
Sæt navnet på den netværksgrænseflade eller pipe, der skal bruges til live packetcapture.
Netværksgrænsefladenavne skal stemme overens med et af de navne, der er anført inwireshark -D (beskrevet ovenfor); et nummer, som rapporteret afwireshark -D, kan også bruges. Hvis du bruger UNIX, kan netstat-i eller ifconfig -a også fungere til at liste grænsefladenavne, selv om ikke alle versioner af UNIX understøtter -a-flaget til ifconfig.
Hvis der ikke er angivet nogen grænseflade, søger Wireshark i listen over grænseflader og vælger den første ikke-loopback-grænseflade, hvis der er nogen ikke-loopback-grænseflader, og vælger den første loopback-grænseflade, hvis der ikke er nogen ikke-loopback-grænseflader; hvis der ikke er nogen grænseflader, rapporterer Wireshark en fejl og starter ikke optagelsen.
Pipe navne skal være enten navnet på en FIFO (navngivet pipe) eller “-” til at læse data fra standard input. Data, der læses fra pipes, skal være i standard libpcap-format.
-k
Indstillingen -k angiver, at Wireshark skal begynde at opsamle pakker med det samme. Denne indstilling kræver brug af parameteren -i for at angive den grænseflade, som pakkeopsamling skal ske fra.
-l
Denne indstilling slår automatisk rulning til, hvis ruden med pakkelisten opdateres automatisk, efterhånden som pakker ankommer under en opsamling ( som angivet med -S-flaget).
-L
Opfører de datalink-typer, der understøttes af grænsefladen, og afslutter.
-m <font>
Denne indstilling indstiller navnet på den skrifttype, der bruges til det meste af den tekst, der vises af Wireshark. XXX – tilføj et eksempel!
-n
Deaktiverer navneopløsning af netværksobjekter (f.eks. værtsnavne, TCP- og UDPportnavne).
-N <name resolving flags>
Slår navneopløsning til for bestemte typer adresser og portnumre; argumentet er en streng, der kan indeholde bogstaverne m for at aktivere MAC-adresseopløsning, n for at aktivere netværksadresseopløsning og t for at aktivere transportlagets portnummeropløsning. Dette tilsidesætter -n, hvis både -N og -n er til stede. Bogstavet C aktiverer samtidige (asynkrone) DNS-søgninger.
-o <præference/nyere indstillinger>
Indstiller en præference- eller nyere værdi, der tilsidesætter standardværdien og enhver værdi, der er læst fra en præference/nyere fil. Argumentet til flaget er en streng af formen prefname:value, hvor prefname er navnet på præferencen (som er det samme navn som det, der ville fremgå af præference-/recent-filen), og value er den værdi, som den skal sættes til. Der kan angives flere forekomster af -o <præferenceindstillinger> på en enkelt kommandolinje.
Et eksempel på indstilling af en enkelt præference ville være:
wireshark -o mgcp.display_dissect_tree:TRUE
Et eksempel på indstilling af flere præferencer ville være:
Et eksempel på indstilling af flere præferencer ville være:
wireshark -o mgcp.display_dissect_tree:TRUE -o mgcp.udp.callagent_port:2627
Du kan få en liste over alle tilgængelige præferencestrenge fra filenpreferences, se bilag A, Filer og mapper.
Brugeradgangstabeller kan tilsidesættes ved at bruge “uat” efterfulgt af UAT-filnavnet og en gyldig post for filen:
wireshark -o “uat:user_dlts:\”User 0 (DLT=147)\”,\”http\”,\”0\”,\”0\”,\”\”\”,\”0\”,\”\”\”””
Eksemplet ovenfor ville dissekere pakker med en libpcap data link type 147 som HTTP, ligesom hvis du havde konfigureret det i DLT_USER protokolpræferencerne.
-p
Sæt ikke grænsefladen i promiscuous-tilstand. Bemærk, at grænsefladen kan være i promiscuous-tilstand af en anden grund; derfor kan -p ikke bruges til at sikre, at den eneste trafik, der opfanges, er trafik, der sendes til eller fra den maskine, som Wireshark kører på, broadcast-trafik og multicast-trafik til adresser, der modtages af den pågældende maskine.
-P <stiindstilling>
Specielle stiindstillinger, der normalt registreres automatisk. Dette bruges til særlige tilfælde, f.eks. til at starte Wireshark fra et kendt sted på et USB-stik.
Kriteriet er af formen nøgle:sti, hvor nøgle er en af:
stien til personlige konfigurationsfiler, som f.eks. præferencefilerne.
persdata:path
sti til personlige datafiler, det er den mappe, der oprindeligt blev åbnet.Efter initialiseringen vil den seneste fil beholde den mappe, der sidst blev brugt.
-Q
Denne indstilling tvinger Wireshark til at afslutte, når optagelsen er afsluttet. Den kan bruges sammen med indstillingen -c. Den skal bruges sammen med indstillingerne -i og -w.
-r <infile>
Denne indstilling angiver navnet på en optagelsesfil, som Wireshark skal læse og vise. Denne capture-fil kan være i et af de formater, som Wireshark forstår.
-R <read (display) filter>
Denne indstilling angiver et visningsfilter, der skal anvendes, når pakker læses fra en opsamlingsfil. Syntaksen for dette filter er den samme som for de visningsfiltre, der er diskuteret i Afsnit 6.3, “Filtrering af pakker under visning”. Pakker, der ikke matcher filteret, kasseres.
-s <capture snaplen>
Denne indstilling angiver den snapshotlængde, der skal bruges, når der opfanges pakker. Wireshark vil kun optage <snaplen> bytes data for hver pakke.
-S
Denne indstilling angiver, at Wireshark vil vise pakker, mens den opfanger dem. Dette gøres ved at opsamle i en proces og vise dem i en separat proces. Dette er det samme som “Opdater liste over pakker i realtid” i dialogboksen Capture Options (Indstillinger for opsamling).
-t <tidsstempelformat>
Denne indstilling indstiller formatet for pakkers tidsstempler, der vises i vinduet med pakkeliste. Formatet kan være et af følgende:
-
r relativ, hvilket angiver, at tidsstemplerne vises relativt i forhold til den første pakke, der opfanges.
-
a absolut, hvilket angiver, at de faktiske tidspunkter vises for alle pakker.
-
ad absolut med dato, som angiver, at de faktiske datoer og tidspunkter skal vises for alle pakker.
-
d delta, som angiver, at tidsstemplerne er relative i forhold til den foregående pakke.
-
e epoch, som angiver, at tidsstemplerne er sekunder siden epoch (1. jan. 1970 00:00:00:00)
-v
Indstillingen -v anmoder Wireshark om at udskrive sine versionsoplysninger og afslutte.
-w <savefile>
Denne indstilling indstiller navnet på den savefile, der skal bruges, når du gemmer en optagelsesfil.
-y <capture link type>
Hvis en capture startes fra kommandolinjen med -k, skal du indstille den datalink-type, der skal bruges, mens pakker opfanges. De værdier, der rapporteres med -L, er de værdier, der kan bruges.
-X <eXtension option>
Angiv en option, der skal overføres til et TShark-modul. eXtension-indstillingen er i formen extension_key:value, hvor extension_key kan være:
lua_script:lua_script_filename; Angiver, at Wireshark skal indlæse det angivne script ud over standard-Lua-scripts.
-z <statistics-string>
Får Wireshark til at indsamle forskellige typer statistik og vise resultatet i et vindue, der opdateres i semi-realtid.XXX – tilføj flere detaljer her!