【Wireshark】キャプチャファイルの保存(長時間取得)

2022.11.21
長時間にわたってパケットキャプチャを取得する場合、何も設定をしないでキャプチャを開始すると、通信量によってはキャプチャファイルのサイズが大きくなりすぎる恐れがあります
さらに、停止することなく長時間続けると、端末のディスク容量が圧迫される可能性もあります。
Wiresharkで、パケットキャプチャする際に、キャプチャオプション設定により、キャプチャ対象のパケットをフィルタしたり、キャプチャファイルを分割して保存するなど設定することができます。
この記事では、キャプチャオプションの設定のうち、キャプチャ取得時のファイル分割キャプチャの自動停止など、ファイル出力の設定内容について、確認していきます。
キャプチャ対象のパケットをフィルタする場合は、下記記事を参考にしてください。

  >> 参考記事 : 【Wireshark】キャプチャ取得するパケットをフィルタする

【Wireshark】キャプチャ取得するパケットをフィルタする
Wiresharkで、パケットキャプチャする際に、キャプチャオプション設定により、キャプチャ対象のパケットをフィルタしたり、長時間のキャプチャ取得するためのファイル分割など設定することができます。この記事では、キャプチャオプションの設定のう...
hirotanoblog.com
2022.11.13
スポンサーリンク

キャプチャオプション

キャプチャオプションは、キャプチャ >> オプション より起動します。

キャプチャオプションは、入力出力オプションの3つのタブに分かれます。
出力タブで、ファイルの保存先ファイル分割の条件を設定します。

キャプチャの自動停止などは、オプションタブで設定します。

スポンサーリンク

出力

ファイルの保存先ファイル分割の条件を設定します。

保存ファイルにキャプチャ

キャプチャファイルの保存先を指定します。指定するには、参照をクリックします。

今回は、C:¥save_captureというフォルダにcapture-test.pcapというファイル名で保存します。

開始をクリックするとキャプチャが取得されます。

C:¥save_capturecapture-test.pcapとして、キャプチャデータが保存されます。

ただし、このままだと、この1つのファイルに保存しつづけるので、ファイルサイズが肥大する可能性があります

ファイル分割

新しいファイルを自動的に作成します」にチェックを入れ、条件を指定することで、キャプチャデータはファイル分割され、保存されます

分割する条件は、下記4つがあります。
  • 取得パケット数
  • ファイルサイズ
  • 取得時間
  • 時刻

取得パケット数

設定したパケット数がキャプチャされると、新しいファイルが作成されます。
今回は、100000 パケットとして、チェックを入れ、開始をクリックします。

保存先フォルダ(C:¥save_capture )を確認すると、ファイル名として、capture-testのあとに、通番と日時が記録され、ファイル分割されていることが確認できます。

通番0001のファイル(capture-test_00001_20221120004151)を確認すると、100000パケット分、取得できていることが確認できます。

ファイルサイズ

指定したファイルサイズを超えたときに、新しいファイルが作成されます。
今回は、1メガバイト として、チェックを入れ、開始をクリックします。

約1MB単位でファイルが保存されていることが確認できます。

取得時間

現在のキャプチャを取得している時間が、指定した時間を経過すると、新しいファイルが作成されます。今回は、3分 として、チェックを入れ、開始をクリックします。

取得開始してから、3分間隔で、ファイルが作成されます。
1つ目のファイルは1:07:17に作成(キャプチャ開始)され、1:10:17にファイル更新が完了しています。

時計の倍数間隔

例えば、時刻で、1時5分、1時10分といった5分区切りで、キャプチャデータを保存することができます。今回は、5分 として、チェックを入れ、開始をクリックします。

1時31分にキャプチャを開始したところ、1時35分に1つ目のファイルの更新が完了し、新しいファイルが作成されます。次のファイルは1時40分に更新されます。

ファイル圧縮

保存したファイルを自動的に圧縮することもできます。圧縮する際は、gzipにチェックをいれます。

自動的にファイルが圧縮されていることが確認できます。

リングバッファ

保存ファイル数を制限する場合は、リングバッファを作成します。ここで指定した最新のファイル数だけが保存されます。今回は、リングバッファを3に指定します。

最新3つのファイルだけが保存されていることが確認できます。

スポンサーリンク

キャプチャの自動停止

オプションタブで、条件に応じたキャプチャの自動停止ができます。条件としては、取得パケット数作成されたファイル数取得してからの経過時間が選択できます。
ファイル分割せず、1つのファイルへデータ保存する場合は、ファイルサイズを条件に指定することもできます。

コメント