-a <capture autostop condition>
Adjon meg egy kritériumot, amely meghatározza, hogy a Wireshark mikor hagyja abba a rögzítési fájlba való írást. A feltétel a következő formájú: test:value, ahol a test:
A rögzítőfájlba való írás leállítása a másodpercek értékének letelte után.
filesize:value
A rögzítőfájlba való írás leállítása, ha a fájl mérete eléri az értékkilobájtot (ahol a kilobájt 1000 bájt, nem 1024 bájt). Ha ezt az opciót a -b opcióval együtt használjuk, a Wireshark leállítja az írást az aktuális rögzítőfájlba, és a következőre vált, ha a filesize elérte.
files:value
A rögzítőfájlok írásának leállítása, miután value számú fájlt írtunk.
-b <capture ring buffer option>
Ha egy maximális rögzítőfájlméret lett megadva, ez az opció a Wiresharkot “ring buffer” módban futtatja, a megadott számú fájlokkal. “Ringbuffer” üzemmódban a Wireshark több capture fájlba ír. Ezek neve a fájl számán, valamint a létrehozás dátumán és idején alapul.
Amikor az első rögzítőfájl megtelik, a Wireshark átvált a következő fájlba való írásra, amíg az utolsó fájl meg nem telik, ekkor eldobja az első fájlban lévő adatokat (kivéve, ha 0 van megadva, ebben az esetben a fájlok száma korlátlan), és elkezdi az írást abba a fájlba, és így tovább.
Az opcionális időtartam megadása esetén a Wireshark akkor is átvált a következő fájlra, ha a megadott számú másodperc letelt, még akkor is, ha az aktuális fájl nem töltődik fel teljesen.
Váltás a következő fájlra value másodpercek elteltével, még akkor is, ha az aktuális fájl nem töltődött fel teljesen.
filesize:value
Váltás a következő fájlra, miután az elérte a value kilobájtos méretet (ahol a kilobájt 1000 bájt, nem 1024 bájt).
files:value
Újrakezdi az első fájlnál, miután value számú fájlt írtak (gyűrűpuffert képez).
-B <capture buffer size (csak Win32)>
Csak Win32: a capture buffer méretének beállítása (MB-ban, alapértelmezett 1MB). Ezt használja a rögzítő illesztőprogram a csomagadatok pufferelésére, amíg az adatok ki nem íródnak a lemezre. Ha a rögzítés során csomagelesést tapasztal, próbálja meg növelni ezt a méretet.
-c <capture packet count>
Ez az opció az élő adatok rögzítésekor rögzítendő csomagok maximális számát adja meg. Ezt a -k opcióval együtt kell használni.
-D
Kiírja azoknak az interfészeknek a listáját, amelyeken a Wireshark képes rögzíteni, és kilép. Minden egyes hálózati interfészhez egy számot és egyinterfész nevet, esetleg az interfész szöveges leírását nyomtat ki. Az interfész neve vagy száma megadható a -i jelzővel a rögzítendő interfész megadásához.
Ez hasznos lehet olyan rendszereken, amelyeken nincs parancs a listázásra (pl. Windows rendszerek, vagy UNIX rendszerek, amelyeken nincs ifconfig -a);a szám hasznos lehet Windows 2000 és újabb rendszereken, ahol az interfész neve egy kissé összetett karakterlánc.
Megjegyezzük, hogy a “can capture” azt jelenti, hogy a Wireshark képes volt megnyitni az eszközt az élő rögzítéshez; ha az Ön rendszerén egy hálózati rögzítést végző programot különleges jogosultságokkal rendelkező fiókból kell futtatni (például root-ként), akkor, ha a Wiresharkot a -D jelzővel futtatja, és nem ilyen fiókból futtatja, nem fog egyetlen interfészt sem listázni.
-f <capture filter>
Ez az opció beállítja a csomagok rögzítésekor használandó kezdeti capture filter kifejezést.
-g <csomagszám>
Miután beolvasott egy capture fájlt a -r flag használatával, a megadott csomagszámra lép.
-h
A -h opció arra kéri a Wiresharkot, hogy írja ki a verzióját és a használati utasításokat (a fentiek szerint), majd lépjen ki.
-i <capture interface>
A hálózati interfész vagy cső nevének beállítása az élő csomagfelvételhez.
A hálózati interfész nevének meg kell egyeznie awireshark -D-ben felsorolt nevek egyikével (lásd fent); awireshark -D által jelentett szám is használható. Ha UNIX-ot használ, a netstat-i vagy az ifconfig -a is működhet az interfésznevek listázására,bár a UNIX nem minden verziója támogatja az ifconfig -a jelzőjét.
Ha nincs interfész megadva, a Wireshark megkeresi az interfészek listáját, kiválasztva az első nem loopback interfészt, ha van nem loopback interfész, és az első loopback interfészt, ha nincs nem loopback interfész; ha nincs interfész, a Wireshark hibát jelent, és nem kezdi el a rögzítést.
A cső nevének vagy egy FIFO (nevesített cső) neve vagy “-” kell lennie a szabványos bemenetről történő adatolvasáshoz. A csövekből olvasott adatoknak a libpcap szabványos formátumának kell lenniük.
-k
A -k opció megadja, hogy a Wireshark azonnal kezdje el a csomagok rögzítését. Ez az opció megköveteli a -i paraméter használatát annak az interfésznek a megadásához, amelyről a csomagok rögzítése történjen.
-l
Ez az opció bekapcsolja az automatikus görgetést, ha a csomaglista ablaka automatikusan frissül, ahogy a csomagok érkeznek a rögzítés során ( ahogyan azt az -S jelző meghatározza).
-L
Az interfész által támogatott adatkapcsolat-típusok listázása és kilépés.
-m <font>
Ez az opció beállítja a Wireshark által megjelenített legtöbb szöveghez használt betűtípus nevét. XXX – adjon hozzá egy példát!
-n
Hálózati objektumok névfelbontásának kikapcsolása (például hostnév, TCP- és UDPport nevek).
-N <névfelbontási flags>
Bekapcsolja a névfelbontást bizonyos típusú címek és portszámok esetében; az argumentum egy karakterlánc, amely tartalmazhatja az m betűket a MAC-címfelbontás engedélyezéséhez, az n betűket a hálózati címfelbontás engedélyezéséhez, és a t betűket a közlekedési réteg portszámának engedélyezéséhez. Ez felülírja a -n értéket, ha az -N és a -n érték is jelen van. A C betű egyidejű (aszinkron) DNS-keresést tesz lehetővé.
-o <preference/recent settings>
Preference vagy recent érték beállítása, felülírva az alapértelmezett értéket és a preference/recent fájlból beolvasott értékeket. A flag argumentuma egy prefname:value formájú karakterlánc, ahol a prefname a preferencia neve (ami ugyanaz a név, ami a preference/recent fájlban is szerepelne), az érték pedig az az érték, amire be kell állítani. A -o <preference settings> több példánya is megadható egyetlen parancssoron.
Egyetlen preferencia beállítására a következő példa lenne:
wireshark -o mgcp.display_dissect_tree:TRUE
Több preferencia beállítására ez a példa:
wireshark -o mgcp.display_dissect_tree:TRUE -o mgcp.udp.callagent_port:2627
A rendelkezésre álló beállítási karakterláncok listáját apreferences fájlban találja, lásd A függelék, Fájlok és mappák.
A felhasználói hozzáférési táblák felülbírálhatók az “uat” szóval, amelyet az UAT fájl neve és a fájl érvényes rekordja követ:
wireshark -o “uat:user_dlts:\”User 0 (DLT=147)\”,\”http\”,\”0\”,\”\”\”,\”0\”,\”\”””
A fenti példa a 147-es libpcap adatkapcsolat-típusú csomagokat HTTP-ként boncolná, mintha ezt a DLT_USER protokollbeállításokban konfigurálta volna.
-p
Ne állítsa az interfészt promiscuous módba. Vegye figyelembe, hogy az interfész más okból is lehet promiscuous módban; ezért a -p nem használható annak biztosítására, hogy csak a Wiresharkot futtató gépre vagy arról a gépről küldött forgalom, a broadcast forgalom és az adott gép által fogadott címekre irányuló multicast forgalom kerüljön rögzítésre.
-P <útvonal-beállítás>
Speciális útvonal-beállítások, amelyeket általában automatikusan észlel. Ez speciális esetekben használatos, pl. a Wireshark indítása egy ismert helyről egy USB-pendrive-on.
A kritérium a kulcs:path alakú, ahol a kulcs az alábbiak egyike:
a személyes konfigurációs fájlok, például a beállításfájlok elérési útja.
persdata:path
a személyes adatfájlok elérési útja, ez az eredetileg megnyitott mappa.Az initilálás után a legutóbbi fájl megtartja az utoljára használt mappát.
-Q
Ez az opció kikényszeríti, hogy a Wireshark kilépjen a rögzítés befejezésekor. A -c opcióval együtt használható. A -i és -w opciókkal együtt kell használni.
-r <infile>
Ez az opció megadja a Wireshark által olvasandó és megjelenítendő rögzítési fájl nevét. Ez a rögzítőfájl a Wireshark által megértett formátumok egyikében lehet.
-R <read (display) filter>
Ez az opció egy olyan megjelenítési szűrőt ad meg, amelyet a csomagoknak a rögzítőfájlból történő beolvasásakor kell alkalmazni. Ennek a szűrőnek a szintaxisa megegyezik a 6.3. szakaszban “Csomagok szűrése megtekintés közben” tárgyalt megjelenítési szűrőkével. A szűrőnek nem megfelelő csomagok elvetésre kerülnek.
-s <capture snaplen>
Ez az opció a csomagok rögzítésekor használandó pillanatfelvétel hosszát adja meg. A Wireshark csak <snaplen> bájtnyi adatot rögzít minden egyes csomaghoz.
-S
Ez a beállítás megadja, hogy a Wireshark a csomagok rögzítésekor megjelenítse azokat. Ez úgy történik, hogy a rögzítés egy folyamatban történik, a megjelenítés pedig egy külön folyamatban. Ez megegyezik a Capture Options (Rögzítési beállítások) párbeszédpanel “Update list of packets in real time” (A csomagok listájának valós idejű frissítése) opciójával.
-t <time stamp format>
Ez a beállítás beállítja a csomaglista ablakban megjelenő csomagok időbélyegeinek formátumát. A formátum a következő lehet:
-
r relative, amely meghatározza, hogy az időbélyegek az első rögzített csomaghoz képest jelennek meg.
-
a abszolút, amely megadja, hogy a tényleges időpontok minden csomagra vonatkozóan megjelenjenek.
-
ad abszolút dátummal, amely meghatározza, hogy a tényleges dátumok és időpontok minden csomag esetében megjelenjenek.
-
d delta, amely megadja, hogy az időbélyegek az előző csomaghoz viszonyítva legyenek.
-
e epoch, amely megadja, hogy az időbélyegek az epochától (1970. január 1. 00:00:00) számított másodpercek legyenek
-v
A -v opció a Wiresharkot a verzióinformációk kiírására és kilépésre kéri.
-w <savefile>
Ez az opció beállítja a rögzítési fájl mentésekor használandó savefile nevét.
-y <capture link type>
Ha a rögzítés a parancssorból indul -k kapcsolóval, állítsa be a csomagok rögzítése során használandó adatcsatlakozási típust. A -L által jelentett értékek a használható értékek.
-X <eXtension option>
A TShark modulnak átadandó opció megadása. Az eXtension opció a következő formájú: extension_key:value, ahol a extension_key lehet:
lua_script:lua_script_filename; Megadja a Wiresharknak, hogy az alapértelmezett Lua szkriptek mellett a megadott szkriptet is töltse be.
-z <statistics-string>
A Wiresharkot különböző típusú statisztikák gyűjtésére és azok eredményének megjelenítésére egy félig valós időben frissülő ablakban.XXX – további részletek itt!
