Modbusパケットをキャプチャし、列にデータを表示して後でcsvファイルとしてエクスポートする方法を知りたいです。表示してエクスポートしたいデータの種類の画像を添付します。
答え1
列として追加したいフィールドごとに、最も簡単な方法は、まずフィールドを選択することです。「機能コード」例として、これを選択します。これを選択すると、Wireshark ウィンドウの下部にあるステータス ラインに、そのフィールドの Wireshark 表示フィルターが表示されます。この例では、 になりますmodbus.func_code。これは、特定のフィールドの表示フィルターを確認する 1 つの方法です。
ここでフィールドを右クリックすると、列として適用フィールドは新しい列として追加されます。追加したら、フィールドを任意の列の場所にドラッグ アンド ドロップできます。メイン メニューから列を追加することもできますが、この方法で追加する場合は、追加時に入力するために Wireshark の表示フィルター名を知っておく必要があります。これは次の方法で行うことができます。編集 -> 設定 -> 列 -> + -> [デフォルトの新しい列のタイトルをダブルクリックして名前を変更し、デフォルトの数値タイプをダブルクリックしてカスタムを選択し、フィールドの下をダブルクリックして表示フィルターを入力します (例: modbus.func_code)]。
表示フィルターの名前がわからない場合は、少なくとも 3 つの異なる方法で調べることができます。
- ワイヤーシャークディスプレイフィルターリファレンスこのページには、すべての表示フィルターと、各表示フィルターが適用される Wireshark のバージョンがリストされています。
- Wireshark GUIから: 編集 ->表示 -> 内部 -> サポートされているプロトコル -> Modbus -> [展開]
- 使用することもできます
tshark表示するには、次のようにします。
Windowsの場合:
tshark -G fields | findstr "modbus\."
*nixの場合:
tshark -G fields | grep "modbus\."
このプロセスを必要なだけ繰り返すことができます。列にModbus固有のフィールドを追加する前に、まず新しいフィールドを作成することをお勧めします。「モドバス」プロファイルを追加すると、これらのフィールドはModbusパケットを調べるときにのみ列として表示されます。ステータスバーの右下隅にあるプロファイルを右クリックして、新しいプロファイルを追加し、新しいまたはプロフィールの管理メインメニューから新しいプロファイルを追加することもできます。編集 -> 構成プロファイル。
上で述べたようtsharkに、これは Wireshark のコマンドライン版であり、必要なフィールドのみを印刷し、その出力をテキスト ファイルにリダイレクトして、他のプログラムにインポートしてさらに処理することができます。例:
tshark -r file.pcap -Y "modbus" -T fields -E separator=/t -e frame.number -e modbus.func_code -e modbus.byte_cnt > file.txt
tshark多くのオプションがあるので、使い方をよりよく理解するには必ずマニュアルページを読んでください。
を使用していない場合はtshark、次のコマンドを使用して Wireshark GUI からデータをエクスポートします。ファイル -> パケット解析のエクスポート -> CSV として... -> [必要なオプションを選択/選択解除し、ファイル名を選択して [保存] をクリックします]。
最後に、Wiresharkユーザーガイドも素晴らしい参考資料です。