Диалоговое окно «Выражение фильтра». Как просто составлять выражения фильтра отображения.

Когда вы привыкли к системе фильтрации Wireshark и знаете, какие метки вы хотите использовать в своих фильтрах, очень просто ввести строку фильтра. Однако, если вы новичок в Wireshark или работаете с немного незнакомым протоколом, может быть очень затруднительным попытаться выяснить, что вводить или составить фильтр отображения. Диалоговое окно «Выражение фильтра» поможет вам в этом.

Чтобы вызвать окно «Выражение фильтра» после запуска WireSharka нажмите на надпись Expression… у поля фильтрации

Когда вы открываете диалоговое окно «Выражение фильтра», вы увидите большой список протоколов и внутри каждого, список полей. А так же поле для выбора отношения.

Имя поля

Выберите поле протокола из дерева. Каждый протокол с фильтруемыми полями указан на верхнем уровне. (Вы можете найти конкретную запись протокола, введя первые несколько букв имени протокола). По мере ввода имени протокола, вы можете получить список имен полей, доступных для фильтрации по этому протоколу.

Связь

Выберите отношение из списка доступных отношений. is present является унарным отношением , которое является истинным , если выбранное поле присутствует в пакете, пакеты будут отображены. Все остальные перечисленные отношения являются бинарными отношениями, для которых требуются дополнительные данные (например, значение для соответствия).

Когда вы выбираете поле из списка имен полей и выбираете двоичное отношение (например, отношение равенства ==), вам будет предоставлена возможность ввести значение и, возможно, некоторую информацию о диапазоне.

Значение

Вы можете ввести соответствующее значение в текстовое поле «Value» .

Предопределенные значения

Некоторые поля протокола имеют предопределенные значения, такие как перечисление в C. Если выбранное поле протокола имеет такие значения, вы можете выбрать один из них здесь.