stratoshark(1)
stratoshark(1)
stratoshark(1) — Linux manual page
NAMN
stratoshark – systemanrops- och händelselogg-analysator
SYNOPSIS
stratoshark [ -i <fångstkälla>|- ] [ -f <fångstfilter> ] [ -Y <visningsfilter> ] [ -w <utfil> ] [ flaggor ] [ <infil> ] stratoshark -h|--help stratoshark -v|--version
BESKRIVNING
Stratoshark är en grafisk analysator för systemanrop och loggar. Den låter dig interaktivt bläddra bland systemanrop och loggmeddelanden från ett live-system eller från en tidigare sparad fångstfil. Stratosharks inbyggda fångstfilformat är scap, vilket används av kommandoradsverktyget sysdig och av Falco.
Stratosharks huvudfönster visar tre vyer av varje händelse. Det visar en sammanfattningsrad som kort beskriver vad händelsen är. En detaljerad händelsevisning visas, vilket gör att du kan borra ned till exakt det fält du är intresserad av. Slutligen visar en hex-dump exakt hur händelsedatan ser ut på disk eller över kabeln.
Dessutom har Stratoshark vissa funktioner som gör programmet unikt. Det kan sätta samman alla systemanrop i en filbeskrivarsström och visa ASCII-data, EBCDIC-data eller hexdata i den konversationen. Visningsfilter i Stratoshark är mycket kraftfulla; fler fält är filtrerbara i Stratoshark än i andra verktyg, och syntaxen du kan använda för att skapa dina filter är rikare. Allteftersom Stratoshark utvecklas kan man förvänta sig stöd för fler och fler fält.
Händelsefångst utförs av biblioteken libscap och libsinsp. Syntaxen för fångstfilter följer reglerna för libscap. Denna syntax skiljer sig från syntaxen för visningsfilter.
Stöd för komprimerade filer använder, och kräver därför, zlib-biblioteket. Om zlib-biblioteket inte finns kommer Stratoshark att kunna kompileras, men kommer inte att kunna läsa komprimerade filer.
Sökvägen till en fångstfil som ska läsas kan anges med flaggan -r eller som ett kommandoradsargument.
FLAGGOR
Stratoshark stöder en stor mängd kommandoradsflaggor. De flesta användare vill starta programmet utan några flaggor och i stället konfigurera det från programmets menyer. Dessa användare kan vilja hoppa över detta avsnitt.
-a|--autostop <fångstens autostoppvillkor>
Ange ett kriterium som bestämmer när Stratoshark ska sluta skriva till en fångstfil. Kriteriet har formen test:värde, där test är ett av följande:
duration:värde
Sluta skriva till en fångstfil efter att värde sekunder har gått. Flyttalsvärden, till exempel 0.5, är tillåtna.
files:värde
Sluta skriva till fångstfiler efter att värde antal filer har skrivits.
filesize:värde
Sluta skriva till en fångstfil efter att den når storleken värde kB. Om denna flagga används tillsammans med flaggan -b kommer Stratoshark att sluta skriva till den aktuella fångstfilen och växla till nästa fil om filstorleken nås. Observera att filstorleken är begränsad till ett maximalt värde på 2 TB, även om du kan få problem med att visa filen i det grafiska gränssnittet innan dess om antalet händelser överstiger 2³¹ (2147483648).
events:värde
Sluta skriva till en fångstfil efter att den innehåller värde händelser. Fungerar på samma sätt som -c<antal fångsthändelser>.
-b|--ring-buffer <fångstens ringbuffertflagga>
Gör att Stratoshark körs i läget ”flera filer”. I läget ”flera filer” skriver Stratoshark till flera fångstfiler. När den första fångstfilen fylls växlar Stratoshark skrivningen till nästa fil, och så vidare.
De skapade filnamnen baseras på filnamnet som anges med flaggan -w, filens nummer samt skapelsedatum och skapelsetid, till exempel:
outfile_00001_20260714120117.pcap outfile_00002_20260714120523.pcap
Med flaggan files är det också möjligt att skapa en ”ringbuffert”. Detta fyller nya filer tills det angivna antalet filer har nåtts. Därefter kastar Stratoshark datan i den första filen och börjar skriva till den filen igen, och så vidare. Om flaggan files inte är satt fylls nya filer tills ett av fångstens stoppvillkor matchar, eller tills disken är full.
Kriteriet har formen nyckel:värde, där nyckel är ett av följande:
duration:värde
Växla till nästa fil efter att värde sekunder har gått, även om den aktuella filen inte är helt fylld. Flyttalsvärden, till exempel 0.5, är tillåtna.
files:värde
Börja om med den första filen efter att värde antal filer har skrivits, vilket bildar en ringbuffert. Detta värde måste vara mindre än 100000. Försiktighet bör iakttas vid användning av stora antal filer: vissa filsystem hanterar inte många filer i en enda katalog särskilt väl. Kriteriet files kräver att ett av de andra kriterierna anges för att styra när programmet ska gå vidare till nästa fil. Observera att varje -b-parameter tar exakt ett kriterium; för att ange två kriterier måste varje kriterium föregås av flaggan -b.
filesize:värde
Växla till nästa fil efter att den når storleken värde kB. Observera att filstorleken är begränsad till ett maximalt värde på 2 TB, även om du kan få problem med att visa filen i det grafiska gränssnittet innan dess om antalet händelser överstiger 2³¹ (2147483648).
interval:värde
Växla till nästa fil när tiden är en exakt multipel av värde sekunder.
events:värde
Växla till nästa fil efter att den innehåller värde händelser.
Exempel:
-b filesize:1000 -b files:5
Detta ger en ringbuffert med fem filer på en megabyte vardera.
-c <antal fångsthändelser>
Sätt det maximala antalet händelser som ska läsas vid fångst av live-data. Fungerar på samma sätt som -a events:<antal fångsthändelser>.
-C <konfigurationsprofil>
Starta med den angivna konfigurationsprofilen.
--capture-comment <kommentar>
När en fångstfil skapas från kommandoraden med flaggan -k, lägg till en fångstkommentar i utfilen, om fångstformatet stöder det.
Denna flagga kan anges flera gånger. Observera att Stratoshark för närvarande endast visar den första kommentaren i en fångstfil.
-D|--list-sources
Skriv ut en lista över de källor som Stratoshark kan fånga från och avsluta. För varje källa skrivs ett nummer och ett källnamn ut, eventuellt följt av en textbeskrivning av källan. Källnamnet eller numret kan anges till flaggan -i för att välja en källa att fånga från.
--display <X-skärm att använda>
Anger vilken X-skärm som ska användas. Ett värdnamn och en skärm, till exempel otherhost:0.0, eller bara en skärm, till exempel :0.0, kan anges. Denna flagga är inte tillgänglig under macOS eller Windows.
-f <fångstfilter>
Sätt fångstfilteruttrycket.
Denna flagga kan förekomma flera gånger. Om den används före den första förekomsten av flaggan -i sätter den standarduttrycket för fångstfilter. Om den används efter en -i-flagga sätter den fångstfilteruttrycket för källan som angavs av den senaste -i-flaggan före denna flagga. Om fångstfilteruttrycket inte sätts specifikt används standarduttrycket för fångstfilter, om ett sådant har angivits.
Fördefinierade fångstfilternamn, som visas i GUI-menyalternativet Capture→Capture Filters, kan användas genom att prefixa argumentet med "predef:".
Exempel:
-f "predef:MyPredefinedHostOnlyFilter"
--fullscreen
Starta Stratoshark i helskärmsläge, även kallat kioskläge. För att lämna helskärmsläget, öppna menyn View och välj alternativet Full Screen. Alternativt kan du trycka på F11-tangenten, eller Ctrl + Cmd + F på macOS.
-g <händelsenummer>
Efter att en fångstfil har lästs in med flaggan -r, gå till det angivna händelsenumret.
-h|--help
Skriv ut versionsnumret och flaggorna och avsluta.
-H
Dölj fångstinformationsdialogen under live-fångst.
-i|--source <fångstkälla>|-
Sätt namnet på fångstkällan eller röret som ska användas för live-fångst.
Fångstkällans namn bör matcha ett av namnen eller numren som listas av:
stratoshark -D
Om ingen källa anges söker Stratoshark igenom listan över källor och väljer den första källan. Om det inte finns några källor alls rapporterar Stratoshark ett fel och startar inte fångsten.
Rörnamn ska antingen vara namnet på en FIFO, alltså ett namngivet rör, eller "-" för att läsa data från standard in. På Windows-system måste rörnamn ha formen:
\\.\pipe\rörnamn
Data som läses från rör måste vara i standardformatet scap. Scap-data måste ha samma endianess som fångstvärden.
Denna flagga kan förekomma flera gånger.
-j
Använd efter -J för att ändra beteendet när ingen exakt matchning hittas för filtret. Med denna flagga väljs den första händelsen före.
-J <hoppfilter>
Efter att en fångstfil har lästs in med flaggan -r, hoppa till händelsen som matchar filtret, med syntax för visningsfilter. Om ingen exakt matchning hittas väljs den första händelsen efter den.
-k
Starta fångstsessionen omedelbart. Om flaggan -i angavs använder fångsten den angivna källan. Annars söker Stratoshark igenom listan över källor och använder den första källan. Om det inte finns några källor rapporterar Stratoshark ett fel och startar inte fångsten.
-l
Slå på automatisk rullning om händelsevisningen uppdateras automatiskt när händelser kommer in under en fångst, enligt flaggan -S.
-L|--list-data-link-types
Lista datalänktyper som stöds av gränssnittet och avsluta.
--list-time-stamp-types
Lista tidsstämpeltyper som stöds för gränssnittet. Om ingen tidsstämpeltyp kan sättas listas inga tidsstämpeltyper.
-o <inställning/senaste-värde>
Sätt en inställning eller ett recent-värde, vilket åsidosätter standardvärdet och alla värden som lästs från en inställningsfil eller recent-fil. Argumentet till flaggan är en sträng med formen inställningsnamn:värde, där inställningsnamn är namnet på inställningen eller recent-värdet, vilket är samma namn som skulle förekomma i inställningsfilen eller recent-filen, och värde är värdet som det ska sättas till.
Om inställningsnamn är "uat" kan du åsidosätta inställningar i olika användaråtkomsttabeller med formen:
uat:<uat-filnamn>:<uat-post>
uat-filnamn måste vara namnet på en UAT-fil, till exempel user_dlts. uat-post måste vara i formen av en giltig post för den filen, inklusive citationstecken.
För att exempelvis ange en användar-DLT från kommandoraden skulle du använda:
-o "uat:user_dlts:\"User 0 (DLT=147)\",\"cops\",\"0\",\"\",\"0\",\"\""
-P <sökvägsinställning>
Särskilda sökvägsinställningar som vanligtvis identifieras automatiskt. Detta används för specialfall, till exempel när Stratoshark startas från en känd plats på ett USB-minne.
Kriteriet har formen nyckel:sökväg, där nyckel är ett av följande:
persconf:sökväg
Sökväg till personliga konfigurationsfiler, såsom inställningsfilerna.
persdata:sökväg
Sökväg till personliga datafiler; detta är mappen som öppnas initialt. Efter den allra första initieringen kommer recent-filen att behålla den senast använda mappen.
-r|--read-file <infil>
Läs händelsedata från infil, vilket kan vara vilket fångstfilformat som helst som stöds, inklusive komprimerade filer. Det är inte möjligt att använda namngivna rör eller standard in här, till skillnad från TShark! För att fånga från ett rör eller från standard in, använd:
-i -
-R|--read-filter <läsfilter (visningsfilter)>
När en fångstfil som anges med flaggan -r läses, gör detta att det angivna filtret, som använder syntaxen för visningsfilter snarare än syntaxen för fångstfilter, tillämpas på alla händelser som läses från fångstfilen. Händelser som inte matchar filtret kastas.
-S
Uppdatera automatiskt händelsevisningen när händelser kommer in.
--temp-dir <katalog>
Anger katalogen där temporära filer, inklusive fångstfiler, ska skrivas. Standardbeteendet på UNIX-kompatibla system, såsom Linux, macOS, *BSD, Solaris och AIX, är att använda miljövariabeln $TMPDIR om den är satt, och systemets standardkatalog, vanligtvis /tmp, om den inte är satt. På Windows används miljövariabeln %TEMP%, vilken vanligtvis har standardvärdet %USERPROFILE%\AppData\Local\Temp.
--time-stamp-type <typ>
Ändra källans tidsstämpelmetod. Se --list-time-stamp-types.
--update-interval <intervall>
Sätt tidslängden i millisekunder mellan nya händelserapporter under en fångst. Sätter även granulariteten för fildurationsvillkor. Standardvärdet är 100 ms.
-v|--version
Skriv ut fullständig versionsinformation och avsluta.
-w <utfil>
Sätt standardnamnet för fångstfilen, eller '-' för standard ut.
-X <utökningsflaggor>
Ange en flagga som ska skickas till en Stratoshark-modul. Utökningsflaggan har formen utökningsnyckel:värde, där utökningsnyckel kan vara:
lua_script:lua_skriptfilnamn
Anger att Stratoshark ska läsa in det angivna skriptet utöver standard-Lua-skripten.
lua_scriptnum:argument
Anger att Stratoshark ska skicka det angivna argumentet till Lua-skriptet som identifieras av 'num', vilket är den nummerindexerade ordningen för kommandot 'lua_script'. Om exempelvis endast ett skript lästes in med:
-X lua_script:my.lua
kommer:
-X lua_script1:foo
att skicka strängen 'foo' till skriptet 'my.lua'. Om två skript lästes in, till exempel:
-X lua_script:my.lua -X lua_script:other.lua
i den ordningen, skulle:
-X lua_script2:bar
skicka strängen 'bar' till det andra Lua-skriptet, nämligen 'other.lua'.
stdin_descr:beskrivning
Anger att Stratoshark ska använda den angivna beskrivningen vid fångst från standard in:
-i -
-Y|--display-filter <visningsfilter>
Starta med det angivna visningsfiltret.
-z <statistik>
Få Stratoshark att samla in olika typer av statistik och visa resultatet i ett fönster som uppdateras i nästan realtid.
Några av de för närvarande implementerade statistikalternativen är:
-z help
Visa alla möjliga värden för -z.
DISSEKERINGSFLAGGOR
-d <lagertyp>==<väljare>,<avkoda-som-protokoll>
Liksom Wiresharks funktion Decode As... låter detta dig ange hur en lagertyp ska dissekeras. Om den aktuella lagertypen, till exempel tcp.port eller udp.port för ett TCP- eller UDP-portnummer, har det angivna väljarvärdet, ska paket dissekeras som det angivna protokollet.
Exempel 1. Avkoda som port
-d tcp.port==8888,http
Detta kommer att avkoda all trafik som körs över TCP-port 8888 som HTTP.
Se manualsidan tshark(1) för fler exempel.
--disable-all-protocols
Inaktivera dissekering av alla protokoll.
--disable-protocol <proto_namn>[,<proto_namn>,...]
Inaktivera dissekering av proto_namn. Använd proto_namnet ALL för att åsidosätta den valda profilens standardlista över aktiverade protokoll och tillfälligt inaktivera alla protokoll.
--disable-heuristic <kort_namn>
Inaktivera dissekering av heuristiskt protokoll.
--enable-protocol <proto_namn>[,<proto_namn>,...]
Aktivera dissekering av proto_namn. Använd proto_namnet ALL för att åsidosätta den valda profilens standardlista över inaktiverade protokoll och tillfälligt aktivera alla protokoll som är aktiverade som standard.
Om ett protokoll berörs av både --disable-protocol och --enable-protocol aktiveras protokollet. Detta gör det möjligt att tillfälligt inaktivera alla protokoll utom en lista med undantag.
Exempel:
--disable-protocol ALL --enable-protocol eth,ip
--enable-heuristic <kort_namn>
Aktivera dissekering av heuristiskt protokoll.
-K <keytab>
Läs in Kerberos-krypteringsnycklar från den angivna keytab-filen. Denna flagga kan användas flera gånger för att läsa in nycklar från flera filer.
Exempel:
-K krb5.keytab
-n
Inaktivera namnuppslagning för nätverksobjekt, såsom värdnamn samt TCP- och UDP-portnamn. Flaggan -N kan åsidosätta denna.
-N <namnuppslagningsflaggor>
Slå på namnuppslagning endast för särskilda typer av adresser och portnummer, med namnuppslagning för andra typer av adresser och portnummer avstängd. Denna flagga, tillsammans med -n, kan anges flera gånger; det senast angivna värdet åsidosätter tidigare värden. Denna flagga och -n åsidosätter flaggorna från inställningarna, inklusive inställningar som satts via flaggan -o. Om varken -N eller -n anges används värdena från inställningarna, vilka som standard är:
-N dmN
Argumentet är en sträng som kan innehålla följande bokstäver:
d
Aktivera uppslagning från fångade DNS-paket.
g
Aktivera uppslagning av geolokaliseringsinformation för IP-adresser från konfigurerade MaxMind-databaser.
m
Aktivera MAC-adressuppslagning.
n
Aktivera nätverksadressuppslagning.
N
Aktivera användning av externa uppslagare, exempelvis DNS, för nätverksadressuppslagning. Har ingen effekt om inte n också är aktiverad.
s
Aktivera adressuppslagning med SNI-information som hittas i fångade handskakningspaket.
t
Aktivera uppslagning av portnummer på transportlagret.
v
Aktivera uppslagning av VLAN-ID:n till namn.
--only-protocols <protokoll>
Aktivera endast dissekering av dessa protokoll, kommaseparerade. Inaktivera allt annat.
-t (a|ad|adoy|d|dd|e|r|rc|u|ud|udoy)[.[N]]|.[N]
Sätt formatet för pakettidsstämpeln som visas i standardtidskolumnen. Formatet kan vara ett av följande:
a
Absolut: den absoluta tiden, som lokal tid i din tidszon, är den faktiska tiden då paketet fångades, utan datumvisning.
ad
Absolut med datum: det absoluta datumet, visat som YYYY-MM-DD, och tiden, som lokal tid i din tidszon, är den faktiska tiden och datumet då paketet fångades.
adoy
Absolut med datum med dag på året: det absoluta datumet, visat som YYYY/DOY, och tiden, som lokal tid i din tidszon, är den faktiska tiden och datumet då paketet fångades.
d
Delta: deltatiden är tiden sedan föregående paket fångades.
dd
delta_displayed: delta_displayed-tiden är tiden sedan föregående visade paket fångades.
e
Epoch: tiden i sekunder sedan epoken, 1 januari 1970 00:00:00.
r
Relativ: den relativa tiden är tiden som förflutit mellan det första paketet och det aktuella paketet.
rc
Relativ till fångststart: tiden relativt fångststart är tiden som förflutit mellan starten av fångsten och det aktuella paketet.
u
UTC: den absoluta tiden, som UTC med suffixet "Z", är den faktiska tiden då paketet fångades, utan datumvisning.
ud
UTC med datum: det absoluta datumet, visat som YYYY-MM-DD, och tiden, som UTC med suffixet "Z", är den faktiska tiden och datumet då paketet fångades.
udoy
UTC med datum med dag på året: det absoluta datumet, visat som YYYY/DOY, och tiden, som UTC med suffixet "Z", är den faktiska tiden och datumet då paketet fångades.
.[N]
Sätt precisionen: N är antalet decimaler, från 0 till 9. Om "." används utan N avgörs precisionen automatiskt från spårningen.
Standardformatet är relativt med precision baserad på fångstformatet.
-u <s|hms>
Anger hur pakettidsstämpelformat i -t som är relativa tider, det vill säga relative, delta och delta_displayed, ska visas. Giltiga val är:
s
För sekunder.
hms
För timmar, minuter och sekunder.
Standardformatet är sekunder.
DIAGNOSTIKFLAGGOR
--log-level <nivå>
Sätt den aktiva loggnivån. Stödda nivåer i ordning från lägst till högst är "noisy", "debug", "info", "message", "warning", "critical" och "error". Meddelanden på varje nivå och högre skrivs ut. Exempelvis skriver "warning" ut meddelanden på nivåerna "warning", "critical" och "error", medan "noisy" skriver ut alla meddelanden. Nivåer är skiftlägesokänsliga.
--log-fatal <nivå>
Avbryt programmet om något meddelande loggas på den angivna nivån eller högre. Exempelvis avbryter "warning" vid alla meddelanden på nivåerna "warning", "critical" eller "error".
--log-domains <lista>
Skriv endast ut meddelanden för de angivna loggdomänerna, till exempel "GUI,Epan,sshdump". Listan över domäner måste vara kommaseparerad. Den kan negeras med "!" som första tecken, vilket inverterar matchningen.
--log-debug <lista>
Tvinga de angivna domänerna att logga på nivån "debug". Listan över domäner måste vara kommaseparerad. Den kan negeras med "!" som första tecken, vilket inverterar matchningen.
--log-noisy <lista>
Tvinga de angivna domänerna att logga på nivån "noisy". Listan över domäner måste vara kommaseparerad. Den kan negeras med "!" som första tecken, vilket inverterar matchningen.
--log-fatal-domains <lista>
Avbryt programmet om några meddelanden loggas för de angivna loggdomänerna. Listan över domäner måste vara kommaseparerad.
--log-file <sökväg>
Skriv loggmeddelanden och stderr-utdata till den angivna filen.
FILER
Dessa filer innehåller olika konfigurationsinställningar för Wireshark.
Inställningar
Filerna preferences innehåller globala, systemomfattande, och personliga inställningar. Om den systemomfattande inställningsfilen finns läses den först, vilket åsidosätter standardinställningarna. Om den personliga inställningsfilen finns läses den därefter, vilket åsidosätter tidigare värden. Observera: om kommandoradsflaggan -o används, eventuellt mer än en gång, kommer den i sin tur att åsidosätta värden från inställningsfilerna.
Inställningarna har formen inställningsnamn:värde, en per rad, där inställningsnamn är namnet på inställningen och värde är värdet som den ska sättas till. Blanksteg är tillåtna mellan : och värde. En inställning kan fortsätta på efterföljande rader genom att fortsättningsraderna indenteras med blanksteg. Ett #-tecken startar en kommentar som fortsätter till radens slut:
# Ska vertikala rullningslister vara på höger sida? # TRUE eller FALSE (skiftlägesokänsligt). gui.scrollbar_on_right: TRUE
Den globala inställningsfilen söks i katalogen wireshark under underkatalogen share i huvudinstallationskatalogen. På macOS skulle detta typiskt vara:
/Application/Wireshark.app/Contents/Resources/share
På andra UNIX-kompatibla system, såsom Linux, *BSD, Solaris och AIX, skulle detta typiskt vara:
/usr/share/wireshark/preferences
för systeminstallerade paket och:
/usr/local/share/wireshark/preferences
för lokalt installerade paket. På Windows skulle detta typiskt vara:
C:\Program Files\Wireshark\preferences
På UNIX-kompatibla system söks den personliga inställningsfilen i:
$XDG_CONFIG_HOME/wireshark/preferences
eller, om $XDG_CONFIG_HOME/wireshark inte finns men $HOME/.wireshark finns, i:
$HOME/.wireshark/preferences
Detta är typiskt:
$HOME/.config/wireshark/preferences
På Windows söks den personliga inställningsfilen i:
%APPDATA%\Wireshark\preferences
eller, om %APPDATA% inte är definierad, i:
%USERPROFILE%\Application Data\Wireshark\preferences
Observera: när inställningarna sparas med knappen Save i dialogrutan Edit:Preferences skrivs din personliga inställningsfil över med de nya inställningarna, vilket förstör kommentarer och okända eller föråldrade inställningar som fanns i filen.
Recent
Filen recent innehåller personliga inställningar, mestadels GUI-relaterade, såsom aktuell fönsterstorlek för Wireshark. Filen sparas när programmet avslutas och läses automatiskt in vid programstart. Observera: kommandoradsflaggan -o kan användas för att åsidosätta inställningar från denna fil.
Inställningarna i denna fil har samma format som i filerna preferences, och samma katalog som för den personliga inställningsfilen används.
Observera: när Wireshark stängs skrivs din recent-fil över med de nya inställningarna, vilket förstör kommentarer och okända eller föråldrade inställningar som fanns i filen.
Inaktiverade och aktiverade protokoll
Filerna disabled_protos innehåller systemomfattande och personliga listor över protokoll som har inaktiverats, så att deras dissektorer aldrig anropas. Filerna innehåller protokollnamn, ett per rad, där protokollnamnet är samma namn som skulle användas i ett visningsfilter för protokollet:
http tcp # en kommentar
Om ett protokoll listas i den globala filen disabled_protos kan det inte aktiveras av användaren. Därför visas det inte i dialogrutan Analyze::Enabled Protocols.
Den globala filen disabled_protos använder samma katalog som den globala inställningsfilen.
Den personliga filen disabled_protos använder samma katalog som den personliga inställningsfilen.
Filerna disabled_protos listar endast protokoll som är aktiverade som standard men har inaktiverats; protokoll som är inaktiverade som standard, såsom vissa efterdissektorer, listas inte. Det finns motsvarande filer enabled_protos för protokoll som är inaktiverade som standard men har aktiverats.
Observera: när listan över inaktiverade protokoll sparas med knappen Save i dialogrutan Analyze:Enabled Protocols skrivs din personliga disabled-protokollfil över med den nya inställningen, vilket förstör kommentarer som fanns i filen.
Heuristiska dissektorer
Filerna heuristic_protos innehåller systemomfattande och personliga listor över heuristiska dissektorer och anger om de är aktiverade eller inaktiverade. Filerna innehåller den heuristiska dissektorns unika kortnamn, ett per rad, följt av ett kommatecken och 0 för inaktiverad eller 1 för aktiverad:
quic,1 rtcp_stun,1 rtcp_udp,1 rtp_stun,0 rtp_udp,0 tls_tcp,1
Den globala filen heuristic_protos använder samma katalog som den globala inställningsfilen.
Den personliga filen heuristic_protos använder samma katalog som den personliga inställningsfilen.
Namnuppslagning (hosts)
Poster i hosts-filer i den globala och personliga inställningskatalogen används för att slå upp IPv4- och IPv6-adresser innan andra uppslagningsförsök görs. Filen har standardformatet för hosts-filer; varje rad innehåller en IP-adress och ett namn, separerade med blanksteg. Den personliga hosts-filen, om den finns, åsidosätter den globala.
Namnuppslagning för fångstfilter hanteras av libpcap på UNIX-kompatibla system, såsom Linux, macOS, *BSD, Solaris och AIX, och av Npcap på Windows. Därför används inte Wiresharks personliga hosts-fil för namnuppslagning i fångstfilter.
Namnuppslagning (subnets)
Om en IPv4-adress inte kan översättas via namnuppslagning, det vill säga om ingen exakt matchning hittas, försöks en partiell matchning via filen subnets. Både den globala filen subnets och personliga subnets-filer används om de finns.
Varje rad i denna fil består av en IPv4-adress, en subnätmasklängd separerad endast med ett /, och ett namn separerat med blanksteg. Även om adressen måste vara en fullständig IPv4-adress ignoreras alla värden bortom masklängden därefter.
Ett exempel är:
# Kommentarer måste inledas med #-tecknet! 192.168.0.0/24 ws_test_network
Ett partiellt matchat namn skrivs ut som:
subnet-name.remaining-address
Exempelvis skulle "192.168.0.1" under subnätet ovan skrivas som:
ws_test_network.1
Om masklängden ovan hade varit 16 i stället för 24 skulle den utskrivna adressen vara:
ws_test_network.0.1
Namnuppslagning (ethers)
Filerna ethers används för att koppla 6-byte EUI-48- och 8-byte EUI-64-hårdvaruadresser till namn. Först provas den personliga filen ethers, och om adressen inte hittas där provas den globala filen ethers därefter.
Filen har ett format som liknar det som definieras av ethers(5) på vissa UNIX-liknande system. Varje rad innehåller en hårdvaruadress och ett namn, separerade med blanksteg, tabbar eller mellanslag. De hexadecimala siffrorna i hårdvaruadressen separeras med kolon (:), bindestreck (-) eller punkter (.). Samma skiljetecken måste användas konsekvent i en adress. Ett # anger en kommentar som sträcker sig till resten av raden. Både 6-byte MAC-adresser och 8-byte EUI-64-adresser stöds.
Följande fyra rader är giltiga rader i en ethers-fil:
ff:ff:ff:ff:ff:ff Broadcast c0-00-ff-ff-ff-ff TR_broadcast 00.00.00.00.00.00 Zero_broadcast 00:00:00:00:00:00:00:00 EUI64_zero_broadcast
Observera att detta accepterar en större variation av format än filen som definieras av ethers(5) på de flesta UN*X-system.
Den globala filen ethers söks i katalogen /etc på UNIX-kompatibla system, såsom Linux, macOS, *BSD, Solaris och AIX, och i huvudinstallationskatalogen, till exempel:
C:\Program Files\Wireshark
på Windows-system.
Den personliga filen ethers söks i samma katalog som den personliga inställningsfilen.
Namnuppslagning för fångstfilter hanteras av libpcap på UNIX-kompatibla system och Npcap på Windows. Därför används inte Wiresharks personliga ethers-fil för namnuppslagning i fångstfilter.
Namnuppslagning (manuf)
Filen manuf används för att matcha den 3-byte stora leverantörsdelen av en 6-byte hårdvaruadress med tillverkarens namn. Den kan också innehålla välkända MAC-adresser och adressintervall som anges med en nätmask. Filens format liknar ethers-filerna, förutom att poster såsom:
00:00:0C Cisco Cisco Systems, Inc
kan anges, med 3-byte OUI och både ett förkortat och ett långt namn för en leverantör, och poster såsom:
00-00-0C-07-AC/40 All-HSRP-routers
kan anges, med en MAC-adress och en mask som anger hur många bitar av adressen som måste matcha. Posten ovan har exempelvis 40 signifikanta bitar, eller 5 byte, och skulle matcha adresser från:
00-00-0C-07-AC-00
till:
00-00-0C-07-AC-FF
Masken behöver inte vara en multipel av 8.
En global manuf-fil söks i samma katalog som den globala inställningsfilen, och en personlig manuf-fil söks i samma katalog som den personliga inställningsfilen.
I tidigare versioner av Wireshark distribuerades officiell information från IEEE Registration Authority i detta format som den globala manuf-filen. Denna information är nu inbyggd för att snabba upp programstarten, men den interna informationen kan skrivas ut i detta format med:
tshark -G manuf
Utöver filen manuf söks ytterligare en fil med samma format, wka, i den globala katalogen. Denna fil distribueras med Wireshark och innehåller data om välkända MAC-adresser och adressintervall sammanställda från olika icke-IEEE men respekterade källor.
Namnuppslagning (services)
Filen services används för att översätta portnummer till namn. Både den globala services-filen och personliga services-filer används om de finns.
Filen har standardsyntaxen för services-filer; varje rad innehåller ett tjänstenamn och en transportidentifierare separerade med blanksteg. Transportidentifieraren innehåller ett portnummer och ett transportprotokollnamn, vanligtvis tcp, udp eller sctp, separerade med ett /.
Ett exempel är:
mydns 5045/udp # Min egen Domain Name Server mydns 5045/tcp # Min egen Domain Name Server
I tidigare versioner av Wireshark distribuerades officiell information från IANA-registret i detta format som den globala services-filen. Denna information är nu inbyggd för att snabba upp programstarten, men den interna informationen kan skrivas ut i detta format med:
tshark -G services
Namnuppslagning (ipxnets)
Filerna ipxnets används för att koppla 4-byte IPX-nätverksnummer till namn. Först provas den globala filen ipxnets, och om adressen inte hittas där provas den personliga filen därefter.
Formatet är samma som för filen ethers, förutom att varje adress är fyra byte i stället för sex. Dessutom kan adressen representeras som ett enda hexadecimalt tal, vilket är vanligare i IPX-världen, snarare än som fyra hexoktetter.
Exempelvis är dessa fyra rader giltiga rader i en ipxnets-fil:
C0.A8.2C.00 HR c0-a8-1c-00 CEO 00:00:BE:EF IT_Server1 110f FileServer3
Den globala filen ipxnets söks i katalogen /etc på UNIX-kompatibla system, såsom Linux, macOS, *BSD, Solaris och AIX, och i huvudinstallationskatalogen, till exempel:
C:\Program Files\Wireshark
på Windows-system.
Den personliga filen ipxnets söks i samma katalog som den personliga inställningsfilen.
Namnuppslagning (ss7pcs)
Filen ss7pcs används för att översätta SS7-punktkoder till namn. Den läses från den personliga konfigurationskatalogen.
Varje rad i denna fil består av en nätverksindikator följd av ett bindestreck, följd av en punktkod i decimalform och ett nodnamn separerade med blanksteg.
Ett exempel är:
2-1234 MyPointCode1
Namnuppslagning (vlans)
Filen vlans används för att översätta VLAN-tagg-ID:n till namn. Den läses från den personliga konfigurationskatalogen.
Varje rad i denna fil består av ett VLAN-tagg-ID separerat med blanksteg från ett namn.
Ett exempel är:
123 Server-Lan 2049 HR-Client-LAN
Fångstfilter
Filerna cfilters innehåller systemomfattande och personliga fångstfilter. Varje rad innehåller ett filter, med början i strängen som visas i dialogrutan inom citationstecken, följd av själva filtersträngen:
"HTTP" port 80 "DCERPC" port 135
Den globala filen cfilters använder samma katalog som den globala inställningsfilen.
Den personliga filen cfilters använder samma katalog som den personliga inställningsfilen. Den skrivs via dialogrutan Capture:Capture Filters.
Om den globala filen cfilters finns används den endast om den personliga filen cfilters inte finns; globala och personliga fångstfilter slås inte samman.
Visningsfilter
Filerna dfilters innehåller systemomfattande och personliga visningsfilter. Varje rad innehåller ett filter, med början i strängen som visas i dialogrutan inom citationstecken, följd av själva filtersträngen:
"HTTP" http "DCERPC" dcerpc
Den globala filen dfilters använder samma katalog som den globala inställningsfilen.
Den personliga filen dfilters använder samma katalog som den personliga inställningsfilen. Den skrivs via dialogrutan Analyze:Display Filters.
Om den globala filen dfilters finns används den endast om den personliga filen dfilters inte finns; globala och personliga visningsfilter slås inte samman.
Visningsfiltermakron
Filerna dmacros innehåller systemomfattande och personliga visningsfiltermakron. Varje rad innehåller ett filter, med början i strängen som visas i dialogrutan inom citationstecken, följd av själva makrouttrycket:
"private_ipv6" ipv6 && $1 == fc00::/7 "private_ethernet" $1[0] & 0x0F == 2 "private_ipv4" $1 == 192.168.0.0/16 or $1 == 172.16.0.0/12 or $1 == 10.0.0.0/8
Den globala filen dmacros använder samma katalog som den globala inställningsfilen.
Den personliga filen dmacros använder samma katalog som den personliga inställningsfilen. Den skrivs via dialogrutan Analyze:Display Filter Macros.
Om den globala filen dmacros finns används den endast om den personliga filen dmacros inte finns; globala och personliga visningsfilter slås inte samman.
Före Wireshark 4.4 användes en fil med namnet dfilter_macros med något annorlunda syntax. Den filen söks vid uppstart om en dmacros-fil inte hittas och används för att migrera till det nya formatet.
Färgfilter (färgregler)
Filerna colorfilters innehåller systemomfattande och personliga färgfilter. Varje rad innehåller ett filter, med början i strängen som visas i dialogrutan, följd av motsvarande visningsfilter. Därefter läggs bakgrunds- och förgrundsfärgerna till:
# en kommentar @tcp@tcp@[59345,58980,65534][0,0,0] @udp@udp@[28834,57427,65533][0,0,0]
Den globala filen colorfilters använder samma katalog som den globala inställningsfilen.
Den personliga filen colorfilters använder samma katalog som den personliga inställningsfilen. Den skrivs via dialogrutan View:Coloring Rules.
Om den globala filen colorfilters finns används den endast om den personliga filen colorfilters inte finns; globala och personliga färgfilter slås inte samman.
Insticksmoduler
Wireshark söker efter insticksmoduler både i en personlig insticksmodulmapp och i en global insticksmodulmapp.
På UNIX-kompatibla system, såsom Linux, macOS, *BSD, Solaris och AIX, är den globala insticksmodulkatalogen:
lib/wireshark/plugins/
På vissa system används lib64 i stället för lib. Katalogen ligger under huvudinstallationskatalogen, till exempel:
/usr/local/lib/wireshark/plugins/
Den personliga insticksmodulkatalogen är:
$HOME/.local/lib/wireshark/plugins
På macOS, om Wireshark är installerat som ett programpaket, är den globala insticksmodulmappen i stället:
%APPDIR%/Contents/PlugIns/wireshark
På Windows är den globala insticksmodulmappen:
plugins/
under huvudinstallationskatalogen, till exempel:
C:\Program Files\Wireshark\plugins\
Den personliga insticksmodulmappen är:
%APPDATA%\Wireshark\plugins
eller, om %APPDATA% inte är definierad:
%USERPROFILE%\Application Data\Wireshark\plugins
Lua-insticksmoduler lagras i insticksmodulmapparna. Kompilerade insticksmoduler lagras i undermappar till insticksmodulmapparna, där undermappens namn är Wiresharks minor-versionnummer, X.Y. Det finns ytterligare en hierarkisk nivå för varje typ av Wireshark-insticksmodul: libwireshark, libwiretap och codecs.
Exempelvis skulle platsen för en libwireshark-insticksmodul foo.so, eller foo.dll på Windows, vara:
PLUGINDIR/X.Y/epan
libwireshark kallades tidigare libepan. De andra mappnamnen är codecs och wiretap.
Observera
På UNIX-kompatibla system kan Lua-insticksmoduler, men inte binära insticksmoduler, även placeras i:
$XDG_CONFIG_HOME/wireshark/plugins
eller, om $XDG_CONFIG_HOME/wireshark inte finns men $HOME/.wireshark finns, i:
$HOME/.wireshark/plugins
Observera att en dissektorinsticksmodul kan stödja mer än ett protokoll. Det finns inte nödvändigtvis en ett-till-ett-korrespondens mellan dissektorinsticksmoduler och protokoll. Protokoll som stöds av en dissektorinsticksmodul aktiveras och inaktiveras på samma sätt som protokoll som är inbyggda i Wireshark.
MILJÖVARIABLER
WIRESHARK_CONFIG_DIR
Denna miljövariabel åsidosätter platsen för personliga konfigurationsfiler. På UNIX-kompatibla system, såsom Linux, macOS, *BSD, Solaris och AIX, har den standardvärdet:
$XDG_CONFIG_HOME/wireshark
eller, om den katalogen inte finns men $HOME/.wireshark finns:
$HOME/.wireshark
Detta är typiskt:
$HOME/.config/wireshark
På Windows är standardvärdet:
%APPDATA%\Wireshark
eller, om %APPDATA% inte är definierad:
%USERPROFILE%\Application Data\Wireshark
Tillgänglig sedan Wireshark 3.0.
WIRESHARK_DEBUG_WMEM_OVERRIDE
Om denna miljövariabel sätts tvingas wmem-ramverket att använda den angivna allokeringsbakänden för alla allokeringar, oavsett vilken bakände som normalt anges av koden. Detta är främst användbart för utvecklare vid testning eller felsökning. Se README.wmem i källdistributionen för detaljer.
WIRESHARK_RUN_FROM_BUILD_DIRECTORY
Denna miljövariabel gör att insticksmoduler och andra datafiler läses från byggkatalogen, där programmet kompilerades, i stället för från standardplatserna. Den har ingen effekt när programmet i fråga körs med root- eller setuid-behörigheter på UNIX-kompatibla system, såsom Linux, macOS, *BSD, Solaris och AIX.
WIRESHARK_DATA_DIR
Denna miljövariabel gör att de olika datafilerna läses från en annan katalog än standardplatserna. Den har ingen effekt när programmet i fråga körs med root- eller setuid-behörigheter på UNIX-kompatibla system.
WIRESHARK_EXTCAP_DIR
Denna miljövariabel gör att de olika extcap-programmen och skripten körs från en annan katalog än standardplatserna. Den har ingen effekt när programmet i fråga körs med root- eller setuid-behörigheter på UNIX-kompatibla system.
WIRESHARK_PLUGIN_DIR
Denna miljövariabel gör att de olika insticksmodulerna läses från en annan katalog än standardplatserna. Den har ingen effekt när programmet i fråga körs med root- eller setuid-behörigheter på UNIX-kompatibla system.
WIRESHARK_ABORT_ON_DISSECTOR_BUG
Om denna miljövariabel är satt kommer Stratoshark att anropa abort(3) när ett dissektorfel påträffas. abort(3) gör att programmet avslutas onormalt. Om du kör Stratoshark i en felsökare bör det stanna i felsökaren och tillåta inspektion av processen. Om du inte kör det i en felsökare kommer det på vissa operativsystem, förutsatt att din miljö är korrekt konfigurerad, att generera en core dump-fil. Detta kan vara användbart för utvecklare som försöker felsöka ett problem med en protokolldissektor.
WIRESHARK_ABORT_ON_TOO_MANY_ITEMS
Om denna miljövariabel är satt kommer Stratoshark att anropa abort(3) om en dissektor försöker lägga till för många objekt i ett träd. I allmänhet är detta en indikation på att dissektorn inte bryter ut ur en loop tillräckligt snart. abort(3) gör att programmet avslutas onormalt. Om du kör Stratoshark i en felsökare bör det stanna i felsökaren och tillåta inspektion av processen. Om du inte kör det i en felsökare kommer det på vissa operativsystem, förutsatt att din miljö är korrekt konfigurerad, att generera en core dump-fil. Detta kan vara användbart för utvecklare som försöker felsöka ett problem med en protokolldissektor.
WIRESHARK_QUIT_AFTER_CAPTURE
Gör att Stratoshark avslutas efter att fångstsessionen slutar. Detta startar inte automatiskt en fångst; du måste fortfarande använda -k för att göra det. Du måste också ange ett autostoppvillkor, till exempel -c eller -a duration:.... Detta innebär att du inte kommer att kunna se resultaten av fångsten efter att den stoppar; det är främst användbart för testning.
WIRESHARK_LOG_LEVEL
Denna miljövariabel styr hur utförliga diagnostikmeddelandena till konsolen är. Från mindre utförligt till mest utförligt kan nivåerna vara critical, warning, message, info, debug eller noisy. Nivåer ovanför den aktuella nivån är också aktiva. Nivåerna critical och error är alltid aktiva.
WIRESHARK_LOG_FATAL
Sätter den fatala loggnivån. Fatala loggnivåer gör att programmet avbryts. Denna nivå kan sättas till Error, critical eller warning. Error är alltid fatal och är standardvärdet.
WIRESHARK_LOG_DOMAINS
Denna miljövariabel väljer vilka loggdomäner som är aktiva. Filtret anges som en skiftlägesokänslig kommaseparerad lista. Om den är satt aktiveras endast de inkluderade domänerna. Standarddomänen betraktas alltid som aktiverad. Domänfilterlistor kan föregås av '!' för att invertera matchningens innebörd.
WIRESHARK_LOG_DEBUG
Lista över domäner med debug-loggnivå. Detta sätter nivån för de angivna loggdomänerna och har företräde över filtret för aktiva domäner. Om den föregås av '!' inaktiveras debug-nivån i stället.
WIRESHARK_LOG_NOISY
Samma som ovan, men för loggnivån noisy.
UPPHOVSPERSONER
Stratoshark skulle inte vara det kraftfulla och funktionsrika program det är utan generösa bidrag från hundratals utvecklare.
En fullständig lista över upphovspersoner finns i filen AUTHORS i Wiresharks källkodsarkiv.
SE ÄVEN
wireshark-filter(4), strato(1), editcap(1), dumpcap(1), mergecap(1)
ANMÄRKNINGAR
Detta är manualsidan för Stratoshark 0.9.4. Den senaste versionen av Stratoshark finns på:
HTML-versioner av Wireshark-projektets manualsidor finns på:
[2](https://www.wireshark.org/docs/man-pages/)
Denna sida är en del av projektet wireshark — interaktiv dumpning och analys av nätverkstrafik. Information om projektet finns på:
[3](https://www.wireshark.org/)
Om du har en felrapport för denna manualsida, se:
[4](https://gitlab.com/wireshark/wireshark/-/issues)
Denna sida hämtades från projektets uppströms Git-arkiv:
[5](https://gitlab.com/wireshark/wireshark.git)
Sidan hämtades den 2026-01-16. Vid den tidpunkten var datumet för den senaste commit som hittades i arkivet 2026-01-16.
Om du upptäcker renderingsproblem i denna HTML-version av sidan, eller tror att det finns en bättre eller mer uppdaterad källa för sidan, eller har rättelser eller förbättringar till informationen i denna COLOPHON, som inte är en del av den ursprungliga manualsidan, skicka e-post till:
[man-pages@man7.org](mailto:man-pages@man7.org)
Manualsidans sidfot:
2026-01-15 STRATOSHARK(1)
Sidor som hänvisar till denna sida
KOLOFON
HTML-renderingen skapades 2026-01-16 av Michael Kerrisk, författare till The Linux Programming Interface.
För information om fördjupade utbildningar i Linux/UNIX-systemprogrammering, se:
[6](https://man7.org/training/)
Webbhotellet tillhandahålls av jambit GmbH.