При захвате базового механизма захвата libpcap будут захватывать пакеты с сетевой карты и сохранять пакетные данные в (относительно) небольшом буфере ядра. Эти данные считываются Wireshark и сохраняются в файле захвата.
По умолчанию Wireshark сохраняет пакеты во временный файл. Вы также можете сообщить Wireshark о сохранении в конкретном («постоянном») файле и переключиться на другой файл по истечении заданного времени или на определенное количество пакетов. Эти параметры контролируются на вкладке «Выход» в диалоговом окне «Параметры захвата».
Параметры вывода захвата
Работа с большими файлами (несколько сотен МБ) может быть довольно медленной. Если вы планируете совершать долгосрочный захват или захват из сети с высоким трафиком, подумайте об использовании одного из параметров «Несколько файлов». В этом случае захваченные пакеты будут распределены по нескольким более мелким файлам, с которыми гораздо приятнее работать.
Использование нескольких файлов может сократить информацию, связанную с контекстом. Wireshark сохраняет контекстную информацию загруженных пакетных данных, поэтому он может сообщать о связанных с контекстом проблемах (например, об ошибке потока) и хранит информацию о связанных с контекстом протоколах (например, когда данные обмениваются на этапе создания и упоминаются только в более поздних пакетах).
Поскольку эта информация хранится только для загруженного файла, использование одного из нескольких файловых режимов может сократить эти контексты. Если фаза создания сохраняется в одном файле, а вещи, которые вы хотели бы видеть, находятся в другом, вы можете не увидеть какую-то ценную информацию, связанную с контекстом.
Режим захвата файлов, выбранный параметрами захвата
| Имя файла | Msgstr «Создать новый файл …» | «Использовать кольцевой буфер …» | Режим | Используемое имя файла (ов) |
|---|---|---|---|---|
| — | — | — | Один временный файл | wiresharkXXXXXX (где XXXXXX — уникальный номер) |
| foo.cap | — | — | Один и тот же файл | foo.cap |
| foo.cap | Икс | — | Несколько файлов, непрерывный | foo_00001_20100205110102.cap, foo_00002_20100205110318.cap, … |
| foo.cap | Икс | Икс | Несколько файлов, кольцевой буфер | foo_00001_20100205110102.cap, foo_00002_20100205110318.cap, … |
Один временный файл
Будет создан и использован временный файл (это значение по умолчанию). После того как захват остановлен, этот файл можно сохранить позже под указанным пользователем именем.
Один и тот же файл
Будет использоваться один файл захвата. Если вы хотите поместить новый файл захвата в определенную папку, выберите этот режим.
Несколько файлов, непрерывный
Как и режим «Single named file», но новый файл создается и используется после достижения одного из условий переключения нескольких файлов (один из значений «Следующий файл каждый …»).
Несколько файлов, кольцевой буфер
Так же, как «Несколько файлов, непрерывный», при достижении одного из условий переключения нескольких файлов (один из значений «Следующий файл каждый …») переключится на следующий файл. Это будет только что созданный файл, если значение «Ring buffer with n files» не будет достигнуто, иначе оно заменит самый старый из ранее используемых файлов (образуя таким образом «кольцо»). + Этот режим ограничивает максимальное использование диска даже при неограниченном количестве входных данных захвата, сохраняя только последние данные.
