Ich habe die Modbus-Pakete erfasst und möchte wissen, wie ich meine Daten in meinen Spalten anzeigen kann, um sie später als CSV-Datei zu exportieren. Ich füge ein Bild der Art von Daten an, die ich anzeigen und exportieren möchte
Antwort1
Für jedes Feld, das Sie als Spalte hinzufügen möchten, wählen Sie am einfachsten zunächst das Feld aus, sagen wir das„Funktionscode“als Beispiel. Wenn Sie es auswählen, werden Sie feststellen, dass die Statuszeile unten im Wireshark-Fenster Ihnen anzeigt, was der Wireshark-Anzeigefilter für dieses Feld ist, und in diesem Beispiel ist es modbus.func_code. Dies ist eine Möglichkeit, den Anzeigefilter für ein bestimmtes Feld zu erfahren.
Wenn Sie nun mit der rechten Maustaste auf das Feld klicken, können Sie wählenAls Spalte anwenden. Das Feld wird als neue Spalte hinzugefügt. Sobald es hinzugefügt wurde, können Sie das Feld per Drag & Drop an jede gewünschte Spaltenposition ziehen. Sie können Spalten auch über das Hauptmenü hinzufügen, aber wenn Sie sie auf diese Weise hinzufügen, müssen Sie den Namen des Wireshark-Anzeigefilters kennen, um ihn beim Hinzufügen eingeben zu können. Das können Sie folgendermaßen tun:Bearbeiten -> Einstellungen -> Spalten -> + -> [Doppelklicken Sie auf den standardmäßigen Titel „Neue Spalte“ und benennen Sie ihn um, doppelklicken Sie auf den standardmäßigen Zahlentyp und wählen Sie „Benutzerdefiniert“, doppelklicken Sie unter „Felder“ und geben Sie den Anzeigefilter ein, z. B. modbus.func_code].
Wenn Sie den Namen des Anzeigefilters nicht kennen, können Sie ihn auf mindestens 3 verschiedene Arten nachschlagen:
- Der WiresharkAnzeigefilterreferenzAuf der Seite sind alle Anzeigefilter aufgeführt und es wird angegeben, für welche Wireshark-Versionen jeder Anzeigefilter gilt.
- Über die Wireshark-GUI: Bearbeiten ->Ansicht -> Intern -> Unterstützte Protokolle -> Modbus -> [Erweitern]
- Sie können auch
tsharkum sie anzuzeigen, zum Beispiel:
Unter Windows:
tshark -G fields | findstr "modbus\."
Auf *nix:
tshark -G fields | grep "modbus\."
Sie können diesen Vorgang für beliebig viele Felder wiederholen. Bevor Sie Modbus-spezifische Felder zu den Spalten hinzufügen, kann es sinnvoll sein, zunächst ein neues"Modbus"Profil, sodass diese Felder nur als Spalten angezeigt werden, wenn Sie Modbus-Pakete untersuchen. Fügen Sie ein neues Profil hinzu, indem Sie mit der rechten Maustaste auf das Profil in der unteren rechten Ecke der Statusleiste klicken und wählenNeuoderProfile verwalten. Sie können auch über das Hauptmenü ein neues Profil hinzufügen:Bearbeiten -> Konfigurationsprofile.
Ich habe es tsharkoben erwähnt; es ist das Befehlszeilenäquivalent von Wireshark und ermöglicht es Ihnen, nur die gewünschten Felder auszudrucken. Anschließend können Sie die Ausgabe in eine Textdatei umleiten, die dann zur weiteren Verarbeitung in andere Programme importiert werden kann. Ein Beispiel:
tshark -r file.pcap -Y "modbus" -T fields -E separator=/t -e frame.number -e modbus.func_code -e modbus.byte_cnt > file.txt
tsharkbietet zahlreiche Optionen. Lesen Sie daher unbedingt die Manpage, um die Verwendung besser zu verstehen.
Wenn Sie nicht verwenden tshark, exportieren Sie die Daten aus der Wireshark-GUI mit:Datei -> Paketdissektionen exportieren -> Als CSV... -> [Gewünschte Optionen auswählen/abwählen, einen Dateinamen wählen und auf Speichern klicken].
Schließlich der WiresharkBenutzerhandbuchist auch eine tolle Referenz.