Wiresharkで表示フィルターを使用する方法

Wiresharkの表示フィルター言語を使用すると、プラットフォームが現在表示するパケットを制御できます。通常、表示フィルターは、プロトコルまたはフィールドの存在を確認するために使用されます。ただし、これらを使用して、「and」や「or」などの論理演算子を使用してパッケージを比較することもできます。

Wiresharkの表示フィルターとキャプチャフィルターを混同するのは簡単です。この記事では、PCとMacでプラットフォーム表示フィルターを使用する方法について説明します。また、Wireshark内の表示フィルターとキャプチャフィルターの違いについても説明します。

WindowsPCのWiresharkでディスプレイフィルターを使用する方法

PCでWiresharkスクリーンフィルターを使用するのは非常に簡単です。プラットフォームには、画面の上部にボックスがあり、表示するパッケージをすばやく説明できます。通常、以下に基づいてパッケージを表示します。

• プロトコル
• フィールド値
• フィールドプレゼンス
• フィールド間の比較

ただし、フィールドの表示機能により、より複雑な使用が可能になります。

WindowsPCのWiresharkで表示フィルターを使用する方法は2つあります。

方法番号1-直接フィルタータイプ

ログを表示したいだけの場合は、次のようにします。

• Wiresharkの[表示フィルター]ツールバーを見つけてクリックします。

• ツールバーにプロトコルの名前を入力します。たとえば、すべてのTCPパケットを表示する場合は、「tcp」と入力します。

• 「Enter」を押して、選択したフィルターを適用します。または、フィルター式を入力してから「適用」をクリックすることもできます。

これで、選択したフィルターに基づいてWiresharkがパケットを表示することがわかります。これらのパッケージはすべて、関連するキャプチャファイル内に残ります。表示フィルターは、キャプチャファイルの内容を変更しません。適用しているフィルターに関連するパケットが表示されます。

適用されたフィルターを削除したい場合は、「クリア」ボタンをクリックしてください。表示フィルターツールバーの右側にあります。

メソッド番号2-統計パネル

この方法は、表示フィルターツールバーに直接入力する必要のないフィルターを適用する方法です。

• トップメニューで「統計」を見つけてクリックします。

• ドロップダウンリストからオプションの1つを選択します。このウォークスルーでは、[エンドポイント]を選択します。

• MACアドレスを示すエンドポイントレポートポップアップが表示されます。アドレスの1つを右クリックして、[フィルターとして適用]を選択します。

• [選択済み]をクリックします。

選択した構文は、表示フィルターツールバーに自動的に入力されます。

MacのWiresharkでディスプレイフィルターを使用する方法

MacのWiresharkでは、表示フィルターを使用して、プロトコル、フィールド比較、フィールド値など、さまざまなパラメーターと式に基づいてパケットを表示できます。Macでディスプレイフィルターを使用する方法は2つあります。

方法＃1-フィルターツールバーを表示する

次の手順は、簡単なプロトコルを表示します。Wiresharkに精通している場合は、さまざまな演算子を使用して、より複雑なフィルターを作成できます。単純なログ表示フィルターについては、次の手順に従ってください。

• 画面上部の表示フィルターツールバーをクリックします。「フィルター」という単語の横にあるテキストボックスです。

• プロトコルの名前を入力し、[適用]ボタンをクリックします。

Wiresharkは、現在のキャプチャフィルタ内にある入力されたプロトコルに関連付けられた各パケットを表示します。フィルタの表示ツールバーの横にある[クリア]ボタンをクリックして、フィルタを削除し、すべてのパッケージを再度表示します。

メソッド番号2-統計パネル

フィルタの正確な式がわからない場合は、より簡単な方法を使用できる場合があります。次の例は、エンドポイントを使用して表示フィルターを作成する方法を示しています。また、他のいくつかのタイプの式やプロトコルにも適用できます。次の手順に従って、エンドポイント表示フィルターを作成します。

• 上部のメニューバーの[統計]をクリックします。

• [エンドポイント]を選択します。

• ポップアップウィンドウでフィルタリングするエンドポイントに移動し、右クリックして[フィルターとして適用]を強調表示します。

• 「選択済み」を選択します。

Wiresharkが表示フィルターツールバーに選択した構文を自動的に入力するのを確認する必要があります。プラットフォームには、選択したエンドポイントに関連するパケットも表示されます。

追加のFAQ

表示フィルターとキャプチャフィルターの違いは何ですか？

Wiresharkを使用すると、表示フィルターとキャプチャフィルターを使用してパケット内を移動できます。これらのフィルターは混乱しやすいです。ただし、それらは異なる目的を果たし、異なる構文を使用する必要があります。

表示フィルターは、必要なものをすべて収集し、分析のために特定のパッケージを表示する場合に使用されます。

キャプチャフィルターは、表示フィルターよりも制限されています。これらは生のパケットキャプチャのサイズを縮小するため、パケットキャプチャプロセスを開始する前にインストールする必要があります。通常、コマンドを使用して特定のタイプのパケットをキャプチャから返したり削除したりする場合は、キャプチャフィルタを使用します。キャプチャプロセス中にキャプチャフィルタを変更することはできません。

表示フィルターとキャプチャフィルターも、使用する構文が異なります。

表示フィルターでは、論理フィルターと演算子の組み合わせを使用して、作成するフィルターの論理記述を作成します。例には、それぞれ「等しい」と「等しくない」を意味する「==」と「！=」が含まれます。

キャプチャフィルターは、マスク、バイトオフセット、および16進値を論理フィルター言語と組み合わせたより複雑な構文を使用します。これにより、キャプチャフィルタは表示フィルタよりも直感的ではなくなりますが、より複雑なフィルタを適用するために使用できることも意味します。

フィルタを適用する

Wiresharkの表示フィルター機能を使用すると、キャプチャ内のパケットをすばやく検査できます。特定のプロトコルやフィールドを分析できるように、画面上のすべてのノイズを取り除く必要がある大規模なショットに最適です。Wiresharkは、そのwikiを通じて、さまざまなフィルター修飾子と表示フィルター式に関する詳細情報を提供します。

しかし今、私たちはあなたから聞きたいです。Wiresharkで特定のパケットを分析する必要がある頻度はどれくらいですか？ディスプレイフィルターを使用すると、プラットフォームを使用する際の効率が向上すると思いますか？以下のコメントで、Wiresharkディスプレイフィルターについてどう思うか教えてください。