-a <capture autostop condition>
Ange ett kriterium som anger när Wireshark ska sluta skriva till en fildelningsfil. Kriteriet är av formen test:värde, där test är ett av följande:
Stoppa skrivningen till en fångavbildningsfil efter att värde av sekunder har förflutit.
filesize:värde
Stoppa skrivningen till en fångavbildningsfil efter att den har nått en storlek av värdeekilobyte (där en kilobyte är 1 000 byte, inte 1024 byte). Omdet här alternativet används tillsammans med alternativet -b kommer Wireshark att sluta skriva till den aktuella fångstfilen och växla till nästa om filesize uppnås.
files:value
Sluta skriva till fångstfiler efter att värde antal filer har skrivits.
-b <capture ringbuffer option>
Om en maximal storlek på fångstfilen har angetts, får det här alternativet Wireshark att köras i läget ”ringbuffert”, med det angivna antalet filer. I ”ringbuffer”-läget skriver Wireshark till flera fångstfiler. Deras namn baseras på filens nummer och på datum och tid för skapandet.
När den första filen fylls kommer Wireshark att övergå till att skriva till nästa fil, tills den sista filen fylls, och då kommer Wireshark att kasta datan i den första filen (om inte 0 anges, då är antalet filer obegränsat) och börja skriva till den filen och så vidare.
Om det valfria alternativet duration anges kommer Wireshark också att byta till nästa fil när det angivna antalet sekunder har förflutit, även om den aktuella filen inte är helt fylld.
Växla till nästa fil när värde sekunder har förflutit, även om den aktuella filen inte är helt fylld.
filesize:value
Växla till nästa fil när den har nått en storlek på värde kilobyte (där en kilobyte är 1000 byte, inte 1024 byte).
files:value
Gör om med den första filen efter att värde antal filer skrivits (bildar en ringbuffert).
-B <capture buffertstorlek (endast Win32)>
Endast Win32: Ange storlek på capturebuffert (i MB, standard är 1 MB). Detta används av capture-drivrutinen för att buffra paketdata tills dessa data kan skrivas till disken. Om du stöter på paketförluster vid insamling, försök att öka den här storleken.
-c <capture packet count>
Det här alternativet anger det maximala antalet paket som ska fångas när du fångar levande data. Det skulle användas tillsammans med alternativet -k.
-D
Skriv ut en lista över de gränssnitt som Wireshark kan fånga och avsluta. För varje nätverksgränssnitt skrivs ett nummer och ett gränssnittsnamn ut, eventuellt följt av en textbeskrivning av gränssnittet. Gränssnittsnamnet eller numret kan anges med flaggan -i för att specificera ett gränssnitt som ska fångas.
Detta kan vara användbart på system som inte har ett kommando för att lista dem (t.ex. Windows-system eller UNIX-system som saknar ifconfig -a); numret kan vara användbart på Windows 2000 och senare system, där gränssnittsnamnet är en något komplex sträng.
Bemärk att ”kan fånga” betyder att Wireshark kunde öppna enheten för att göra en live-fångst; om, på ditt system, ett program som gör en nätverksfångst måste köras från ett konto med särskilda privilegier (t.ex. som root), så kommer Wireshark inte att lista några gränssnitt om det körs med flaggan -D och inte körs från ett sådant konto.
-f <capture filter>
Det här alternativet ställer in det inledande filteruttrycket för fångst som ska användas när paket fångas.
-g <paketnummer>
Efter att ha läst in en fångstfil med flaggan -r, gå till det angivna paketnumret.
-h
Alternativet -h uppmanar Wireshark att skriva ut sin version och användningsinstruktioner (enligt ovan) och avsluta.
-i <capture interface>
Sätt namnet på nätverksgränssnittet eller röret som ska användas för live packetcapture.
Nätverksgränssnittsnamn bör matcha ett av namnen som anges i inwireshark -D (beskrivs ovan); ett nummer, som rapporteras avwireshark -D, kan också användas. Om du använder UNIX kan netstat-i eller ifconfig -a också fungera för att lista gränssnittsnamn, även om inte alla versioner av UNIX stöder flaggan -a för ifconfig.
Om inget gränssnitt anges söker Wireshark i listan över gränssnitt och väljer det första icke-loopbackgränssnittet om det finns några icke-loopbackgränssnitt och det första loopbackgränssnittet om det inte finns några icke-loopbackgränssnitt; om det inte finns några gränssnitt rapporterar Wireshark ett fel och startar inte fångsten.
Pipe-namn ska vara antingen namnet på en FIFO (namngiven pipe) eller ”-” för att läsa data från standardinmatningen. Data som läses från pipes måste vara i standard libpcap-format.
-k
Alternativet -k anger att Wireshark ska börja fånga paket omedelbart. Detta alternativ kräver att parametern -i används för att ange det gränssnitt som paketinsamlingen ska ske från.
-l
Det här alternativet aktiverar automatisk rullning om rutan för paketlistan uppdateras automatiskt när paket anländer under en fångst ( vilket specificeras av flaggan -S).
-L
Lista de datalänktyper som stöds av gränssnittet och avsluta.
-m <font>
Det här alternativet anger namnet på det typsnitt som används för det mesta av den text som visas av Wireshark. XXX – lägg till ett exempel!
-n
Disaktivera namnupplösning av nätverksobjekt (t.ex. värdnamn, TCP- och UDPportnamn).
-N <name resolving flags>
Aktiverar namnupplösning för vissa typer av adresser och portnummer; argumentet är en sträng som kan innehålla bokstäverna m för att aktivera upplösning av MAC-adresser, n för att aktivera upplösning av nätverksadresser och t för att aktivera upplösning av portnummer i transportlagret. Detta åsidosätter -n om både -N och -n är närvarande. Bokstaven C aktiverar samtidiga (asynkrona) DNS-sökningar.
-o <preference/recent settings>
Ställer in ett preferens- eller recent-värde och åsidosätter standardvärdet och alla värden som läses från en preference/recent-fil. Argumentet till flaggan är en sträng av formen prefname:value, där prefname är namnet på preferensen (vilket är samma namn som skulle visas i preference/recent-filen) och value är det värde som den ska sättas till. Flera instanser av -o <preference settings> kan anges på en enda kommandorad.
Ett exempel på att ställa in en enda preferens skulle vara:
wireshark -o mgcp.display_dissect_tree:TRUE
Ett exempel på att ställa in flera preferenser är:
wireshark -o mgcp.display_dissect_tree:TRUE -o mgcp.udp.callagent_port:2627
Du kan få en lista över alla tillgängliga inställningssträngar från filenpreferences, se Appendix A, Files and Folders.
Utkomsttabeller för användare kan åsidosättas med hjälp av ”uat”, följt av UAT-filens namn och en giltig post för filen:
wireshark -o ”uat:user_dlts:\”User 0 (DLT=147)\”,\”http\”,\”0\”,\”\”\”,\”\”,\”0\”,\”\”\”””
Exemplet ovan skulle dissekera paket med en libpcap datalänktyp 147 som HTTP, precis som om du hade konfigurerat det i DLT_USER-protokollinställningarna.
-p
Sätt inte gränssnittet i promiskuöst läge. Observera att gränssnittet kan vara i promiscuous-läge av någon annan anledning; därför kan -p inte användas för att säkerställa att den enda trafik som fångas är trafik som skickas till eller från den maskin på vilken Wireshark körs, broadcast-trafik och multicast-trafik till adresser som tas emot av den maskinen.
-P <sökvägsinställning>
Speciella sökvägsinställningar som vanligtvis upptäcks automatiskt. Detta används för speciella fall, t.ex. för att starta Wireshark från en känd plats på ett USB-minne.
Kriteriet är av formen nyckel:sökväg, där nyckel är något av följande:
Sökväg för personliga konfigurationsfiler, som inställningsfilerna.
persdata:path
sökväg för personliga datafiler, det är den mapp som öppnades initialt.Efter initieringen kommer den senaste filen att behålla den mapp som användes senast.
-Q
Det här alternativet tvingar Wireshark att avsluta när insamlingen är klar. Det kan användas tillsammans med alternativet -c. Det måste användas tillsammans med alternativen -i och -w.
-r <infile>
Det här alternativet anger namnet på en fångstfil som Wireshark ska läsa och visa. Denna fångstfil kan vara i något av de format som Wireshark förstår.
-R <read (display) filter>
Det här alternativet anger ett visningsfilter som ska tillämpas när paket läses från en fångstfil. Syntaxen för det här filtret är densamma som för de visningsfilter som diskuteras i avsnitt 6.3, ”Filtrering av paket vid visning”. Paket som inte matchar filtret kasseras.
-s <capture snaplen>
Det här alternativet anger snapshotlängden som ska användas när paket fångas. Wireshark fångar endast <snaplen> bytes data för varje paket.
-S
Det här alternativet anger att Wireshark ska visa paket när den fångar dem. Detta görs genom att fånga i en process och visa dem i en separat process. Detta är samma sak som ”Update list of packets in real time” i dialogrutan Capture Options.
-t <tidsstämpelformat>
Det här alternativet ställer in formatet för paketens tidsstämplar som visas i fönstret för paketlistan. Formatet kan vara ett av följande:
-
r relativ, vilket anger att tidsstämplarna visas relativt till det första paketet som fångades.
-
a absolut, vilket anger att faktiska tider visas för alla paket.
-
ad absolut med datum, som anger att faktiska datum och tider skall visas för alla paket.
-
d delta, som anger att tidsstämplar är relativa till föregående paket.
-
e epoch, som anger att tidsstämplarna är sekunder sedan epoch (1 januari 1970 00:00:00:00)
-v
Alternativet -v begär att Wireshark ska skriva ut sin versionsinformation och avsluta.
-w <savefile>
Det här alternativet anger namnet på den savefile som ska användas när en fångstfil sparas.
-y <capture link type>
Om en fångst startas från kommandoraden med -k, ställ in vilken datalänktyp som ska användas när paket fångas. De värden som rapporteras av -Lär de värden som kan användas.
-X <eXtension option>
Ange ett alternativ som ska skickas till en TShark-modul. Alternativet eXtension har formen extension_key:value, där extension_key kan vara:
lua_script:lua_script_filename; Anvisar Wireshark att ladda det givna skriptet utöver standard-Lua-skriptet.
-z <statistics-string>
Få Wireshark att samla in olika typer av statistik och visa resultatet i ett fönster som uppdateras i halv realtid.XXX – lägg till fler detaljer här!