官方文檔: https://www.wireshark.org/docs/wsug_html/
設(shè)置顯示格式
默認(rèn)的顯示不符合中國(guó)人習(xí)慣司蔬,簡(jiǎn)單設(shè)置下
編輯 -》 首選項(xiàng) -》 外觀 -》 列
image.png
- 修改時(shí)間的顯示格式 夫壁,默認(rèn)是時(shí)間戳,改成絕對(duì)時(shí)間格式 ,雙擊類型修改矮冬,下拉選擇 Absolute date,as YYYY-MM-DD, and time
- Source 默認(rèn)沒(méi)有端口顯示,按 4 的 + ,添加一列邀跃,title 是顯示名稱,支持中文蛙紫,類型雙擊拍屑,下拉選擇 Source Port
- Dest 默認(rèn)沒(méi)有端口顯示,按 4 的 + 坑傅,添加一列僵驰,title 是顯示名稱,支持中文唁毒,類型雙擊矢渊,下拉選擇 Destination Port
可以拖動(dòng),修改列的顯示順序
搜索框表達(dá)式
搜索框里枉证,要有指定表達(dá)式才能搜索,不是隨便輸入就能搜索的移必。
簡(jiǎn)單語(yǔ)法
image.png
要知道有哪些表達(dá)式室谚,可以在 分析 -》 Display Filter Expression 里找到。這里也支持搜索
image.png
例如 from的信息
image.png
按訪客手機(jī)號(hào)搜索
sip.from.user=="xxxxxx" || sip.to.user=="xxxxx"
鏈路的雙方會(huì)來(lái)回發(fā)送和響應(yīng)信息,所以要同時(shí)搜索 from.user和 to.user
搜索 坐席的register 信息
sip.from.user=="xxxx" && sip.Method == "REGISTER"
sip.from.user=="xxxx" && sip.Method == "REGISTER" && ip.dst_host=="xx.xx.xx"
坐席可能注冊(cè)到不同的ip上 秒赤, 確認(rèn)IP的話猪瞬,也可以加上IP的搜索條件
按call-id搜索
訪客端查詢 sip.Call-ID=="xxxxxx"
坐席端查詢 sip.Call-ID == "xxxxxx"
