После захвата пакетов вы можете сохранить их в файл, в любую папку на вашем компьютере, через пункты меню File → Save As … . Вы можете выбрать, какие пакеты сохранить и какой формат файла использовать.
Не вся информация будет сохранена в файле захвата. Например, большинство форматов файлов не записывают количество отброшенных пакетов.
Диалоговое окно «Сохранить как» позволяет сохранить текущий захват в файл. Внешний вид этого диалога зависит от системы. Однако функциональность должна быть одинаковой для всех систем.
Это общий диалог Windows для сохранения всех захваченных пакетов. Если вам требуется сохранить в файл определенные пакеты, следует воспользоваться экспортом пакетов. При экспорте пакетов, доступны дополнительные опции сохранения.
Диалоговое окно File —> Export Specified Packets
Дополнительные возможности позволяют сохранить:
- All packets — все пакеты
- Selected packet — выделенные пакеты(пакеты, которые в процессе вы промаркировали)
- Range — диапазон пакетов (пример: 20-100) сохранит с 20 по 100 пакеты( в сохраненном файле нумерация будет с 1 до 80) или отдельные пакеты (пример: 1, 5, 66) Нумерация так же будет с 1
Captured — сохранение из списка захваченных пакетов.
Displayed — сохранение из списка отображаемых пакетов.
Так же есть функция архивирования сохраненного файла. Для архивации поставите галочку у пункта Compress with gzip
Если вы не укажете расширение файла для имени файла (например, .pcap) Wireshark добавит стандартное расширение файла для этого формата файла.
Сохранение файла захвата в Linux не имеет существенных отличий.
Вы можете конвертировать файлы захвата из одного формата в другой, читая в файле захвата и записывая его в другом формате.
Нажмите кнопку « Сохранить» или « ОК» , чтобы принять выбранный файл и сохранить его. Если Wireshark имеет проблемы с сохранением захваченных пакетов в указанный вами файл, он отобразит диалоговое окно с ошибкой. После нажатия кнопки « ОК» в этом окне ошибки вы можете попробовать еще раз.
Нажмите кнопку « Отмена» , чтобы вернуться в Wireshark, не сохраняя никаких пакетов.
Форматы выходных файлов
Wireshark может сохранять пакетные данные в собственном формате файла (pcapng) и в форматах файлов других анализаторов протоколов, чтобы другие инструменты могли считывать данные захвата.
Различные форматы файлов имеют разную точность метки времени
Сохранение из используемого в настоящее время формата файла в другом формате может уменьшить точность отметки времени
Файл захвата Wireshark может быть сохранен в следующих форматах файлов:
- pcapng (* .pcapng). Гибкий, работоспособный преемник формата libpcap. Wireshark 1.8 и более поздние версии сохраняют файлы как pcapng по умолчанию. Версии до 1.8 использовали libpcap.
- libpcap, tcpdump и различные другие инструменты, используют формат захвата tcpdump (* .pcap, *. cap, *. dmp)
- Accellent 5Views (* .5vw)
- HP-UX nettl (* .TRC0, *. TRC1)
- Microsoft Network Monitor — NetMon (* .cap)
- Network Associates Sniffer — DOS (* .cap, *. Enc, *. Trc, * fdc, *. Syc)
- Network Associates Sniffer — Windows (* .cap)
- Network Instruments Observer version 9 (* .bfr)
- Novell LANalyzer (* .tr1)
- Oracle (ранее Sun) snoop (* .snoop, *. Cap)
- Визуальный трафик Visual UpTime (*. *)
Время от времени добавляются новые форматы файлов.
Сторонние анализаторы протоколов могут потребовать определенных расширений файлов.
Wireshark проверяет содержимое файла, чтобы определить его тип. Некоторые другие анализаторы протоколов смотрят только на расширения имен файлов. Например, вам может потребоваться использовать .cap расширение, чтобы открыть файл с помощью Sniffer .