-a <capture autostop condition>
Specificeer een criterium dat aangeeft wanneer Wireshark moet stoppen met het schrijven naar een capturebestand. Het criterium is van de vorm test:waarde, waarbij test een van de volgende is:
Stop met schrijven naar een capture bestand nadat de waarde van seconden is verstreken.
filesize:waarde
Stop met schrijven naar een capture bestand nadat het een grootte van waardeekilobytes heeft bereikt (waarbij een kilobyte 1000 bytes is, niet 1024 bytes). Als deze optie samen met de -b optie wordt gebruikt, zal Wireshark stoppen met schrijven naar de huidige capture file en overschakelen naar de volgende als de file size is bereikt.
files:value
Stop met schrijven naar capture files nadat waarde aantal files zijn geschreven.
-b <capture ring buffer option>
Als een maximum capture file size was gespecificeerd, zorgt deze optie ervoor dat Wireshark in “ring buffer” mode gaat draaien, met het gespecificeerde aantal files. In “ringbuffer” modus, zal Wireshark naar verschillende capture bestanden schrijven. Hun naam is gebaseerd op het nummer van het bestand en op de aanmaakdatum en -tijd.
Wanneer het eerste capture bestand vol is, zal Wireshark overschakelen naar het volgende bestand, totdat het laatste bestand vol is. Op dat moment zal het de gegevens in het eerste bestand weggooien (tenzij 0 is gespecificeerd, in welk geval het aantal bestanden onbeperkt is) en beginnen te schrijven naar dat bestand, enzovoort.
Als de optionele tijdsduur is opgegeven, zal Wireshark ook naar het volgende bestand overschakelen als het opgegeven aantal seconden is verstreken, zelfs als het huidige bestand niet volledig is opgevuld.
Schakelt over naar het volgende bestand nadat waarde seconden zijn verstreken, zelfs als het huidige bestand niet volledig is opgevuld.
filesize:value
Schakelt over naar het volgende bestand nadat het een grootte van waarde kilobytes heeft bereikt (waarbij een kilobyte 1000 bytes is, niet 1024 bytes).
bestanden:waarde
Begin opnieuw met het eerste bestand nadat waarde aantal bestanden zijn geschreven (vorm een ring buffer).
-B <capture buffer size (alleen Win32)>
Alleen Win32: stel capture buffer size in (in MB, standaard is 1MB). Dit wordt gebruikt door het capture stuurprogramma om pakketgegevens te bufferen totdat die gegevens naar schijf kunnen worden geschreven. Als u pakketdrops tegenkomt tijdens het vastleggen, probeer deze grootte dan te vergroten.
-c <capture packet count>
Deze optie specificeert het maximum aantal packets om te capturen bij het capturen van live data. Ze kan gebruikt worden in combinatie met de -k optie.
-D
Print een lijst van de interfaces waarop Wireshark kan vastleggen, en sluit af. Voor elke netwerkinterface wordt een nummer en een interfacenaam, eventueel gevolgd door een tekstbeschrijving van de interface, afgedrukt. De interfacenaam of het interfacenummer kan aan de vlag -i worden toegevoegd om een interface te specificeren waarop moet worden vastgelegd.
Dit kan nuttig zijn op systemen die geen commando hebben om ze op te sommen (b.v. Windows systemen, of UNIX systemen zonder ifconfig -a); het nummer kan nuttig zijn op Windows 2000 en latere systemen, waar de interfacenaam een ietwat complexe string is.
Merk op dat “can capture” betekent dat Wireshark in staat was om dat apparaat te openen om een live capture te doen; als, op uw systeem, een programma dat een netwerk capture doet moet draaien vanaf een account met speciale privileges (bijvoorbeeld als root), dan, als Wireshark wordt gedraaid met de -D vlag en niet wordt gedraaid vanaf zo’n account, zal het geen interfaces vermelden.
-f <capture filter>
Deze optie stelt de initiële capture filter expressie in die gebruikt wordt bij het vastleggen van pakketten.
-g <packet number>
Na het inlezen van een capture bestand met de -r vlag, gaat u naar het gegeven packet nummer.
-h
De -h optie vraagt Wireshark om zijn versie en gebruiksinstructies af te drukken (zoals hierboven getoond) en af te sluiten.
-i <capture interface>
Stel de naam van de netwerkinterface of pipe in om te gebruiken voor live packetcapture.
De naam van de netwerkinterface moet overeenkomen met een van de namen die inwireshark -D (hierboven beschreven) staan; een nummer, zoals gerapporteerd doorwireshark -D, kan ook worden gebruikt. Als u UNIX gebruikt, zouden netstat-i of ifconfig -a ook kunnen werken om interfacenamen op te sommen, hoewel niet alle versies van UNIX de -a vlag van ifconfig ondersteunen.
Als geen interface wordt opgegeven, zoekt Wireshark in de lijst van interfaces, waarbij de eerste niet-loopback interface wordt gekozen als er geen-loopback interfaces zijn, en de eerste loopback interface als er geen niet-oopback interfaces zijn; als er geen interfaces zijn, meldt Wireshark een fout en start het vastleggen niet.
De naam van een pipe moet ofwel de naam van een FIFO zijn (named pipe) of “-” om gegevens van de standaard input te lezen. Gegevens gelezen van pipes moeten instandaard libpcap formaat zijn.
-k
De optie -k geeft aan dat Wireshark onmiddellijk moet beginnen met het vastleggen van pakketten. Deze optie vereist het gebruik van de -i parameter om de interface te specificeren waarvan de packet capture zal gebeuren.
-l
Deze optie schakelt automatisch scrollen in als het venster met de packet-lijst automatisch wordt bijgewerkt naarmate packets tijdens een capture aankomen (zoals gespecificeerd door de -S vlag).
-L
Toont de datalink-types die door de interface worden ondersteund en sluit af.
-m <font>
Deze optie stelt de naam in van het lettertype dat wordt gebruikt voor de meeste tekst die door Wireshark wordt weergegeven. XXX – voeg een voorbeeld toe!
-n
Schakelt naamresolutie van netwerkobjecten uit (zoals hostname, TCP en UDPoort namen).
-N <name resolving flags>
Schakelt naamresolutie in voor bepaalde typen adressen en poortnummers; het argument is een string die de letters m kan bevatten om MAC adresresolutie in te schakelen, n om netwerkadresresolutie in te schakelen, en t om transport-layer poortnummerresolutie in te schakelen. Dit overschrijft -n als zowel -N als -n aanwezig zijn. De letter C zet gelijktijdige (asynchrone) DNS lookups aan.
-o <voorkeur/recente instellingen>
Stelt een voorkeur of recente waarde in, overschrijft de standaard waarde en elke waarde gelezen van een voorkeur/recent bestand. Het argument voor de vlag is een tekenreeks van de vorm prefname:waarde, waarbij prefname de naam van de voorkeur is (dezelfde naam die in het bestand met voorkeuren/recenties zou staan), en waarde de waarde is waarop deze moet worden ingesteld. Meerdere instanties van -o <voorkeursinstellingen> kunnen op een enkele opdrachtregel worden gegeven.
Een voorbeeld van het instellen van een enkele voorkeur zou zijn:
wireshark -o mgcp.display_dissect_tree:TRUE
Een voorbeeld van het instellen van meerdere voorkeuren zou zijn:
wireshark -o mgcp.display_dissect_tree:TRUE -o mgcp.udp.callagent_port:2627
U kunt een lijst met alle beschikbare voorkeursstrings ophalen uit het voorkeurenbestand, zie Bijlage A, Bestanden en mappen.
Gebruikerstoegangstabellen kunnen worden opgeheven met “uat”, gevolgd door de UAT-bestandsnaam en een geldige record voor het bestand:
wireshark -o “uat:user_dlts:\”User 0 (DLT=147)\”,\”http”,\”0″\”,\”0″\”,\”0″\””
Het bovenstaande voorbeeld zou pakketten ontleden met een libpcap datalink type 147 als HTTP, net alsof je het had geconfigureerd in de DLT_USER protocol voorkeuren.
-p
Zet de interface niet in promiscue modus. Merk op dat de interface om een andere reden in promiscue modus kan staan; daarom kan -p niet gebruikt worden om te verzekeren dat het enige verkeer dat opgevangen wordt, verkeer is dat verzonden wordt van of naar de machine waarop Wireshark draait, broadcast verkeer, en multicast verkeer naar adressen die door die machine ontvangen worden.
-P <pad instelling>
Speciale pad instellingen meestal automatisch gedetecteerd. Dit wordt gebruikt voor speciale gevallen, zoals het starten van Wireshark vanaf een bekende locatie op een USB-stick.
Het criterium is van de vorm key:path, waarbij key een van de volgende is:
Pad van persoonlijke configuratiebestanden, zoals de voorkeurenbestanden.
persdata:path
path van persoonlijke gegevens bestanden, het is de map die initieel geopend werd.Na de initiatie, zal het recente bestand de laatst gebruikte map behouden.
-Q
Deze optie dwingt Wireshark om af te sluiten wanneer het vastleggen voltooid is. Ze kan gebruikt worden met de -c optie. Ze moet gebruikt worden in combinatie met de -i en -w opties.
-r <infile>
Deze optie geeft de naam op van een capture bestand dat Wireshark zal lezen en weergeven. Dit capture bestand kan in een van de formaten zijn die Wireshark begrijpt.
-R <lees (weergave) filter>
Deze optie specificeert een weergave filter die moet worden toegepast bij het lezen van pakketten van een capture bestand. De syntaxis van dit filter is die van de weergavefilters die besproken worden in Paragraaf 6.3, “Pakketten filteren tijdens het bekijken”. Pakketten die niet overeenkomen met het filter worden genegeerd.
-s <capture snaplen>
Deze optie specificeert de snapshot-lengte om te gebruiken bij het vastleggen van pakketten. Wireshark zal slechts <snaplen> bytes van gegevens voor elk pakket vastleggen.
-S
Deze optie specificeert dat Wireshark pakketten zal weergeven terwijl het ze opvangt. Dit wordt gedaan door ze in één proces op te vangen en ze in een afzonderlijk proces weer te geven. Dit is hetzelfde als “Update lijst van pakketten in real time” in het Capture Options dialoogvenster.
-t <tijdstempel formaat>
Deze optie stelt het formaat in van de tijdstempels van pakketten die worden weergegeven in het venster met de pakketlijst. Het formaat kan een van de volgende zijn:
-
r relatief, waarmee wordt aangegeven dat de tijdstempels worden weergegeven ten opzichte van het eerste pakket dat is vastgelegd.
-
a absoluut, waarmee wordt aangegeven dat de werkelijke tijden voor alle pakketten moeten worden weergegeven.
-
ad absoluut met datum, waarmee wordt aangegeven dat de feitelijke datums en tijden voor alle pakketten moeten worden weergegeven.
-
d delta, waarmee wordt aangegeven dat tijdstempels relatief zijn ten opzichte van het vorige pakket.
-
e epoch, waarmee wordt aangegeven dat de tijdstempels seconden zijn sinds de epoch (1 jan 1970 00:00:00)
-v
Met de optie -v wordt Wireshark gevraagd om de versie-informatie af te drukken en het programma af te sluiten.
-w <savefile>
Met deze optie stelt u de naam in van het savebestand dat moet worden gebruikt bij het opslaan van een capturebestand.
-y <capture link type>
Als een capture wordt gestart vanaf de commandoregel met -k, stelt u het datalink-type in dat moet worden gebruikt tijdens het capturen van pakketten. De waarden gerapporteerd door -L zijn de waarden die kunnen worden gebruikt.
-X <eXtension optie>
Specifieer een optie die moet worden doorgegeven aan een TShark module. De optie eXtension heeft de vorm extension_key:value, waarbij extension_key kan zijn:
lua_script:lua_script_filename; Vertelt Wireshark om het gegeven script te laden in aanvulling op de standaard Lua-scripts.
-z <statistics-string>
Zodat Wireshark verschillende soorten statistieken verzamelt en het resultaat daarvan weergeeft in een venster dat in semi-real time wordt bijgewerkt.