dumpcap(1): Skillnad mellan sidversioner

Från Wiki.linux.se -Linux wikipedia på Svenska.
Hoppa till navigering Hoppa till sök
Ingen redigeringssammanfattning
 
(2 mellanliggande sidversioner av samma användare visas inte)
Rad 1: Rad 1:
= ciscodump(1) – Linux manualsida =
= dumpcap(1) – Linux manualsida =


== Namn ==
== Namn ==


'''ciscodump''' – tillhandahåller gränssnitt för att fånga trafik från en fjärransluten Cisco-enhet via SSH.
'''dumpcap''' – dumpa nätverkstrafik.


== Synopsis ==
== Synopsis ==


<pre>
<pre>
ciscodump [ --help ] [ --version ] [ --extcap-interfaces ]
dumpcap [ -a|--autostop <villkor för automatisk stopp av fångst> ] ...
          [ --extcap-dlts ] [ --extcap-interface=<gränssnitt> ]
        [ -b|--ring-buffer <alternativ för ringbuffertfångst> ] ...
          [ --extcap-config ]
        [ -B|--buffer-size <storlek på fångstbuffert> ]
          [ --extcap-capture-filter=<fångstfilter> ]
        [ -c <antal paket att fånga> ]
          [ --capture ] [ --fifo=<sökväg till fil eller pipe> ]
        [ -C <bytegräns> ]
          [ --remote-host=<IP-adress> ]
        [ -d ]
          [ --remote-port=<TCP-port> ]
        [ -D|--list-interfaces ]
          [ --remote-username=<användarnamn> ]
        [ -f <fångstfilter> ]
          [ --remote-password=<lösenord> ]
        [ -F <filformat> ]
          [ --remote-filter=<filter> ]
        [ -g ]
          [ --sshkey=<sökväg till publik nyckel> ]
        [ -i|--interface <fångstgränssnitt>|rpcap://<värd>:<port>/<fångstgränssnitt>|TCP@<värd>:<port>|- ]
          [ --remote-interface=<gränssnitt> ]
        [ -I|--monitor-mode ]
          [ --remote-count=<antal> ]
        [ -k <frekvens>,[<typ>],[<center_frekvens1>],[<center_frekvens2>] ]
        [ -L|--list-data-link-types ]
        [ -M ]
        [ -n ]
        [ -N <paketgräns> ]
        [ -p|--no-promiscuous-mode ]
        [ --ifdescr <beskrivning> ]
        [ --ifname <namn> ]
        [ -P ]
        [ -q ]
        [ -Q ]
        [ -s|--snapshot-length <snaplen för fångst> ]
        [ -S ]
        [ -t ]
        [ --temp-dir <katalog> ]
        [ -w <utfil> ]
        [ -y|--linktype <länklagertyp för fångst> ]
        [ --application-flavor [wireshark|stratoshark] ]
        [ --capture-comment <kommentar> ]
        [ --list-time-stamp-types ]
        [ --no-optimize ]
        [ --time-stamp-type <typ> ]
        [ --update-interval <intervall> ]


ciscodump --extcap-interfaces
dumpcap -h|--help


ciscodump --extcap-interface=ciscodump --extcap-dlts
dumpcap -v|--version
 
ciscodump --extcap-interface=ciscodump --extcap-config
 
ciscodump --extcap-interface=ciscodump \
          --fifo=<sökväg till fil eller pipe> \
          --capture \
          --remote-host=fjärrenhet \
          --remote-port=22 \
          --remote-username=användare \
          --remote-interface=<enhetens gränssnitt> \
          --remote-count=<antal>
</pre>
</pre>


== Beskrivning ==
== Beskrivning ==


'''ciscodump''' är ett '''extcap'''-verktyg som använder Cisco EPC för att låta en användare köra en fjärrfångst på en Cisco-enhet via en SSH-anslutning.
'''Dumpcap''' är ett verktyg för att dumpa nätverkstrafik. Det låter dig fånga paketdata från ett aktivt nätverk och skriva paketen till en fil.
 
'''Dumpcap'''s standardformat för fångstfiler är '''pcapng'''. Flaggan '''-F''' kan anges för att skriva utdatafilen i formatet '''pcap''' i stället.


Det stöder enheter baserade på:
Om inga flaggor anges använder programmet biblioteket '''libpcap''' eller '''Npcap''' för att fånga trafik från det första tillgängliga nätverksgränssnittet. Det skriver mottagen rå paketdata, tillsammans med paketens tidsstämplar, till en fångstfil.


* IOS
Om flaggan '''-w''' inte anges skriver '''Dumpcap''' till en ny fångstfil med ett slumpmässigt valt namn.
* IOS-XE
* ASA


Verktyget konfigurerar fångst på enheten, läser data och tar bort konfigurationen från enheten. De angivna inloggningsuppgifterna måste ge verktyget rätt att konfigurera enheten.
Om flaggan '''-w''' anges skriver '''Dumpcap''' till den fil som anges med den flaggan.


När fångsten startas tillhandahålls paket allt eftersom de tas emot från enheten.
Paketfångst utförs med '''pcap'''-biblioteket. Syntaxen för fångstfilter följer reglerna för '''pcap'''-biblioteket.


Fångsten stoppas när:
== Flaggor ==


* begärt antal paket har nåtts; '''--remote-count''' är obligatoriskt
; '''-a|--autostop <villkor för automatisk stopp av fångst>'''
* fångsten avslutas på enheten, till exempel när fångstbufferten är full
: Ange ett kriterium som bestämmer när '''Dumpcap''' ska sluta skriva till en fångstfil.
* fångsten stoppas av användaren
:
: Kriteriet har formen:
:
<pre>
test:värde
</pre>
:
: där '''test''' är något av följande:


Fångstprestanda beror på enhetstypen. Verktyget försöker läsa paket så snart de tas emot, men är vanligtvis långsammare än den takt med vilken fångstenheten fångar paket. Därför läses paket i omgångar.
; '''duration:<värde>'''
: Sluta skriva till en fångstfil efter att '''värde''' sekunder har gått.
:
: Flyttalsvärden, till exempel '''0.5''', är tillåtna.


IOS och IOS-XE ger endast åtkomst till alla fångade paket från början. Att läsa den andra omgången innebär därför att alla paket från den första omgången läses igen, ignoreras, och att nya paket därefter läses i den andra omgången.
; '''files:<värde>'''
: Sluta skriva till fångstfiler efter att '''värde''' antal filer har skrivits.


ASA ger åtkomst till specifika paket, så verktyget läser varje paket endast en gång.
; '''filesize:<värde>'''
: Sluta skriva till en fångstfil när den når storleken '''värde''' kB.
:
: Om denna flagga används tillsammans med '''-b''' slutar '''dumpcap''' skriva till den aktuella fångstfilen och byter till nästa när filstorleken nås.
:
: Observera att filstorleken är begränsad till ett maxvärde på '''2 TB'''.


== Cisco-programvara som stöds ==
; '''packets:<värde>'''
: Sluta skriva till en fångstfil efter att '''värde''' paket har skrivits.
:
: Fungerar på samma sätt som:
:
<pre>
-c <antal paket att fånga>
</pre>


Programmet stöder IOS version '''12.4''' och senare.
; '''-b|--ring-buffer <alternativ för ringbuffertfångst>'''
: Gör att '''Dumpcap''' körs i läget “flera filer”.
:
: I läget “flera filer” skriver '''Dumpcap''' till flera fångstfiler. När den första fångstfilen fylls upp växlar '''Dumpcap''' till att skriva till nästa fil, och så vidare.
:
: De skapade filnamnen baseras på filnamnet som anges med flaggan '''-w''', filens nummer samt skapelsedatum och skapelsetid.


Den IOS-version som stöder fångstfunktionen är '''12.4(20)T''' och senare.
Exempel:


Mer information finns här:
<pre>
outfile_00001_20260714120117.pcapng
outfile_00002_20260714120523.pcapng
</pre>


* https://www.cisco.com/c/en/us/products/collateral/ios-nx-os-software/ios-embedded-packet-capture/datasheet_c78-502727.html
Med alternativet '''files''' är det också möjligt att skapa en “ringbuffert”. Detta fyller nya filer tills det angivna antalet filer har uppnåtts. Därefter kastar '''Dumpcap''' data i den första filen och börjar skriva till den igen, och så vidare.


Programmet stöder IOS-XE version '''16.1''' och senare.
Om alternativet '''files''' inte anges fylls nya filer tills något av stoppvillkoren för fångsten matchar, eller tills disken är full.


Sök efter:
Kriteriet har formen:


<pre>
<pre>
Embedded Packet Capture Configuration Guide, Cisco IOS XE
nyckel:värde
</pre>
</pre>


för mer information.
där '''nyckel''' är något av följande:


Programmet stöder ASA version '''8.4''' och senare.
; '''duration:<värde>'''
: Växla till nästa fil efter att '''värde''' sekunder har gått, även om den aktuella filen inte är helt fylld.
:
: Flyttalsvärden, till exempel '''0.5''', är tillåtna.


Mer information finns här:
; '''files:<värde>'''
: Börja om med den första filen efter att '''värde''' antal filer har skrivits. Detta skapar en ringbuffert.
:
: Värdet måste vara mindre än '''100000'''.
:
: Var försiktig när du använder stora antal filer. Vissa filsystem hanterar inte många filer i en enda katalog särskilt bra.
:
: Kriteriet '''files''' kräver att antingen '''duration''', '''interval''' eller '''filesize''' anges för att styra när programmet ska gå vidare till nästa fil.
:
: Observera att varje '''-b'''-parameter tar exakt ett kriterium. För att ange två kriterier måste varje kriterium föregås av flaggan '''-b'''.


* https://community.cisco.com/t5/security-documents/asa-using-packet-capture-to-troubleshoot-asa-firewall/ta-p/3129889
; '''filesize:<värde>'''
: Växla till nästa fil när den når storleken '''värde''' kB.
:
: Observera att filstorleken är begränsad till ett maxvärde på '''2 TB'''.


== Flaggor ==
; '''interval:<värde>'''
: Växla till nästa fil när tiden är en exakt multipel av '''värde''' sekunder.
:
: Använd till exempel '''3600''' för att växla till en ny fil varje heltimme.


; '''--help'''
; '''packets:<värde>'''
: Skriv ut programmets argument.
: Växla till nästa fil efter att den innehåller '''värde''' paket.


; '''--version'''
; '''printname:<filnamn>'''
: Skriv ut programmets version.
: Skriv namnet på den senast skrivna filen till '''filnamn''' efter att filen har stängts.
:
: '''filnamn''' kan vara:
:
:* '''stdout''' eller '''-''' för standardutmatning
:* '''stderr''' för standardfel


; '''--extcap-interfaces'''
Exempel:
: Lista tillgängliga gränssnitt.


; '''--extcap-interface=<gränssnitt>'''
<pre>
: Använd angivna gränssnitt.
-b filesize:1000 -b files:5
</pre>


; '''--extcap-dlts'''
Detta resulterar i en ringbuffert med fem filer om en megabyte vardera.
: Lista DLT:er för angivet gränssnitt.


; '''--extcap-config'''
; '''-B|--buffer-size <storlek på fångstbuffert>'''
: Lista konfigurationsalternativ för angivet gränssnitt.
: Ange storleken på fångstbufferten i MiB. Standardvärdet är '''2 MiB'''.
:
: Detta används av fångstdrivrutinen för att buffra paketdata tills dessa data kan skrivas till disk.
:
: Om du får paketförluster under fångst, försök öka denna storlek.
:
: Observera att även om '''Dumpcap''' försöker sätta buffertstorleken till '''2 MiB''' som standard, och kan instrueras att sätta den till ett större värde, kan systemet eller gränssnittet där fångsten sker tyst begränsa fångstbuffertens storlek till ett lägre värde eller höja den till ett högre värde.
:
: Detta är tillgängligt på Unix-kompatibla system, såsom Linux, macOS, *BSD, Solaris och AIX, med '''libpcap 1.0.0''' eller senare, samt på Windows.
:
: Det är inte tillgängligt på Unix-kompatibla system med tidigare versioner av '''libpcap'''.
:
: Denna flagga kan förekomma flera gånger.
:
: Om den används före den första förekomsten av flaggan '''-i''' anger den standardstorleken för fångstbufferten.
:
: Om den används efter en '''-i'''-flagga anger den storleken på fångstbufferten för det gränssnitt som anges av den senaste '''-i'''-flaggan före denna flagga.
:
: Om fångstbuffertens storlek inte anges specifikt används standardstorleken i stället.


; '''--capture'''
; '''-c <antal paket att fånga>'''
: Starta fångst från angivet gränssnitt och spara den den plats som anges med '''--fifo'''.
: Ange det maximala antalet paket att läsa vid fångst av live-data.
:
: Fungerar samma sätt som:
:
<pre>
-a packets:<antal paket att fånga>
</pre>


; '''--fifo=<sökväg till fil eller pipe>'''
; '''-C <bytegräns>'''
: Spara fångade paket till en fil eller skicka dem genom en pipe.
: Begränsa mängden minne, i byte, som används för att lagra fångade paket i minnet medan de bearbetas.
:
: Om detta används tillsammans med flaggan '''-N''' gäller båda gränserna.
:
: Om denna gräns anges aktiveras användning av en separat tråd per gränssnitt.


; '''--remote-host=<fjärrvärd>'''
; '''-d'''
: Adressen till fjärrvärden för fångsten.
: Dumpa koden som genereras för fångstfiltret eller fångstfiltren i läsbar form och avsluta.
:
: Om fångst sker på flera gränssnitt skrivs fångstfiltret för varje gränssnitt ut i den ordning som gränssnitten angavs.
:
: Observera att ett fångstfilter kan kompileras olika på olika gränssnitt.


; '''--remote-port=<fjärrport>'''
; '''-D|--list-interfaces'''
: SSH-porten fjärrvärden.
: Skriv ut en lista över de gränssnitt där '''Dumpcap''' kan fånga trafik och avsluta.
:
: För varje nätverksgränssnitt skrivs ett nummer och ett gränssnittsnamn ut, eventuellt följt av en textbeskrivning av gränssnittet.
:
: Gränssnittsnamnet eller numret kan anges till flaggan '''-i''' för att välja vilket gränssnitt som ska användas för fångst.
:
: Numret kan vara användbart Windows-system, där gränssnitten har långa namn som ofta innehåller en GUID.


; '''--remote-username=<användarnamn>'''
; '''-f <fångstfilter>'''
: Användarnamnet för SSH-autentisering.
: Ange fångstfilteruttrycket.
 
:
; '''--remote-password=<lösenord>'''
: Hela filteruttrycket måste anges som ett enda argument. Om det innehåller mellanslag måste det därför citeras.
: Lösenordet som ska användas, om inte ssh-agent och publik nyckel används.
:
: Denna flagga kan förekomma flera gånger.
:
: Om den används före den första förekomsten av flaggan '''-i''' anger den standarduttrycket för fångstfilter.
:
: Om den används efter en '''-i'''-flagga anger den fångstfilteruttrycket för det gränssnitt som anges av den senaste '''-i'''-flaggan före denna flagga.
:
:
: '''VARNING:''' lösenord lagras i klartext och är synliga för alla användare på systemet. Det rekommenderas att använda nyckelfiler tillsammans med en SSH-agent.
: Om fångstfilteruttrycket inte anges specifikt används standarduttrycket, om ett sådant har angetts.


; '''--remote-filter=<filter>'''
; '''-F <filformat>'''
: Fjärrfiltret på enheten.
: Ange filformatet för den utgående fångstfilen som skrivs med flaggan '''-w'''.
:
:
: Detta är ett fångstfilter som följer Ciscos standarder.
: I situationer som kräver formatet '''pcapng''', till exempel fångst från flera gränssnitt, kommer denna flagga att åsidosättas.
:
:
: För IOS och IOS-XE, se:
: Flaggan '''-F''' utan värde listar tillgängliga format.
:
:
:* https://www.cisco.com/c/en/us/support/docs/ip/access-lists/26448-ACLsamples.html
: Standardformatet är '''pcapng'''.
:
:
: För ASA, se:
: Färre format stöds än av '''tshark(1)'''. Detta är avsiktligt av säkerhetsskäl.
:
:
:* https://www.cisco.com/c/en/us/td/docs/security/asa/asa96/configuration/firewall/asa-96-firewall-config/access-acls.html
: Använd '''tshark''', eller fånga först och konvertera därefter filen med '''editcap(1)''', om ett annat format behövs.
:
 
: Flera filter kan anges genom att separera dem med kommatecken.
; '''-g'''
: Gör att utdatafilen eller utdatafilerna skapas med läsbehörighet för gruppen.
:
:
: '''Observera:''' när ett filter används är standardbeteendet att släppa alla paket utom de som matchar filtret.
: Det betyder att utdatafilen eller utdatafilerna kan läsas av andra medlemmar i den anropande användarens grupp.


Exempel för IOS och IOS-XE:
; '''-h|--help'''
: Skriv ut versionsnumret och flaggorna och avsluta.


; '''-i|--interface <fångstgränssnitt>|rpcap://<värd>:<port>/<fångstgränssnitt>|TCP@<värd>:<port>|-'''
: Ange namnet på det nätverksgränssnitt eller den pipe som ska användas för live-paketfångst.
:
: Nätverksgränssnittsnamn bör matcha ett av namnen som listas av:
:
<pre>
tshark -D
</pre>
:
: Ett nummer, som rapporteras av:
:
<pre>
<pre>
permit ip host MYHOST any, permit ip any host MYHOST
dumpcap -D
</pre>
</pre>
 
:
Fångar trafiken för '''MYHOST'''.
: kan också användas.
 
:
: Om inget gränssnitt anges söker '''Dumpcap''' igenom listan över gränssnitt och väljer det första icke-loopback-gränssnittet om det finns några sådana. Om det inte finns några icke-loopback-gränssnitt väljs det första loopback-gränssnittet.
:
: Om det inte finns några gränssnitt alls rapporterar '''Dumpcap''' ett fel och startar inte fångsten.
:
: Pipe-namn ska antingen vara namnet på en FIFO, alltså en namngiven pipe, eller '''-''' för att läsa data från standardindata.
:
: På Windows-system måste pipe-namn ha formen:
:
<pre>
<pre>
deny ip host MYHOST any, deny ip any host MYHOST, permit ip any any
\\.\pipe\pipename
</pre>
</pre>
 
:
Fångar all trafik utom trafiken för '''MYHOST'''.
: Data som läses från pipes måste vara i standardformatet '''pcapng''' eller '''pcap'''.
 
:
Exempel för ASA:
: '''pcapng'''-data måste ha samma byteordning som fångstvärden.
 
:
: Formen:
:
<pre>
<pre>
permit any4 host MYHOST, permit host MYHOST any4
TCP@<värd>:<port>
</pre>
</pre>
:
: gör att '''Dumpcap''' försöker ansluta till den angivna porten på den angivna värden och läsa '''pcapng'''- eller '''pcap'''-data.
:
: Denna flagga kan förekomma flera gånger.
:
: Vid fångst från flera gränssnitt sparas fångstfilen i formatet '''pcapng''', även om '''-P''' anges.


Fångar IPv4-trafik för '''MYHOST'''.
; '''--ifdescr <beskrivning>'''
: Använd '''beskrivning''' som beskrivning i fångstfilen för gränssnittet eller pipen som angavs före den med '''-i'''.


'''Notering:''' olika fångsttyper stöder eller stöder inte specifika ACL-nyckelord. Verktyget kan inte kontrollera detta, utan försöker bara konfigurera det. Om ett fel uppstår rapporterar verktyget felet och avslutar. I detta fall lämnas rester kvar i konfigurationen.
; '''--ifname <namn>'''
: Använd '''namn''' som namn i fångstfilen för gränssnittet eller pipen som angavs före den med '''-i'''.


; '''--sshkey=<sökväg till privat SSH-nyckel>'''
; '''-I|--monitor-mode'''
: Sökvägen till en privat nyckel för autentisering.
: Sätt gränssnittet i “monitor mode”.
:
: Detta stöds endast på IEEE 802.11 Wi-Fi-gränssnitt och endast på vissa operativsystem.
:
: Observera att adaptern i monitor mode kan koppla från det nätverk den är associerad med. Därför kan du kanske inte använda några trådlösa nätverk med den adaptern.
:
: Detta kan hindra åtkomst till filer på en nätverksserver, eller uppslagning av värdnamn eller nätverksadresser, om du fångar i monitor mode och inte är ansluten till ett annat nätverk med en annan adapter.
:
: Denna flagga kan förekomma flera gånger.
:
: Om den används före den första förekomsten av flaggan '''-i''' aktiveras monitor mode för alla gränssnitt.
:
: Om den används efter en '''-i'''-flagga aktiveras monitor mode för det gränssnitt som anges av den senaste '''-i'''-flaggan före denna flagga.


; '''--remote-interface=<fjärrgränssnitt>'''
; '''-k <frekvens>,[<typ>],[<center_frekvens1>],[<center_frekvens2>]'''
: Det fjärranslutna nätverksgränssnittet att fånga från.
: Ange kanalen på gränssnittet.
:
:
: Ett gränssnitt eller en lista med gränssnittsnamn kan användas. Gränssnitt separeras med kommatecken. Gränssnittsnamnen måste stödjas av enheten.
: Detta stöds endast på IEEE 802.11 Wi-Fi-gränssnitt och endast på vissa operativsystem.
:
:
: Det finns gränssnittsnamn som orsakar olika fångsttyper. De är specifika för den Cisco-programvara som används.
: '''frekvens''' är kanalens frekvens.
 
=== Särskilda IOS-namn ===
 
; '''process-switched'''
: Fånga processväxlade paket i båda riktningarna.
 
; '''from-us'''
: Fånga processväxlade paket som kommer från själva enheten.
 
=== Särskilda IOS-XE-namn ===
 
; '''control-plane'''
: Fångar inkommande och utgående paket som berör kontrollplanet.
 
=== Särskilda ASA-namn ===
 
; '''asp-drop'''
: Fånga paket som tappas av alla ASP-kategorier.
 
; '''TYPE---ifname'''
: Syntax för att referera till ASA-fångsttyper.
:
:
: Se:
: '''typ''' är kanaltypen för 802.11n och senare.
:
:
:* https://www.cisco.com/c/en/us/td/docs/security/asa/asa-cli-reference/A-H/asa-command-ref-A-H/ca-cld-commands.html#wp2435483314
: Värdena för '''typ''' är:


Följande typer finns:
; '''NOHT'''
: Används för 802.11b/g-kanaler.


; '''isakmp---ifname'''
; '''HT20'''
: Fånga ISAKMP-paket.
: 20 MHz-kanal.


; '''lacp---ifname'''
; '''HT40-'''
: Fånga LACP-paket. Endast fysiska gränssnitt stöds.
: 40 MHz primär kanal och en lägre sekundär kanal.


; '''tls-proxy---ifname'''
; '''HT40+'''
: Fånga TLS-proxy-paket.
: 40 MHz primär kanal och en högre sekundär kanal.


; '''inline-tag---ifname'''
; '''HE40'''
: Fånga alla SGT-taggade paket.
: 40 MHz-kanal, med '''centerfreq1''' som dess centerfrekvens.


; '''raw-data---ifname'''
; '''HT80'''
: Samma som ''ifname''.
: 80 MHz-kanal, med '''centerfreq1''' som dess centerfrekvens.


Syntax för att fånga dekrypterad trafik för vissa fångsttyper:
; '''VHT80+80'''
: Två kombinerade 80 MHz-kanaler, med '''centerfreq1''' och '''centerfreq2''' som centerfrekvenser för de två kanalerna.


; '''isakmp/decrypted---ifname'''
; '''VHT160'''
: Fånga ISAKMP-paket inklusive dekrypterad nyttolast.
: 160 MHz-kanal, med '''centerfreq1''' som dess centerfrekvens.


; '''tls-proxy/decrypted---ifname'''
; '''EHT320'''
: Fånga TLS-proxy-paket inklusive dekrypterad nyttolast.
: 320 MHz-kanal, med '''centerfreq1''' som dess centerfrekvens.


; '''inline-tag/decrypted---ifname'''
; '''-L|--list-data-link-types'''
: Fånga inline-tag-paket inklusive dekrypterad nyttolast.
: Lista de datalänktyper som stöds av gränssnittet och avsluta.
:
: De rapporterade länktyperna kan användas med flaggan '''-y'''.


; '''raw-data/decrypted---ifname'''
; '''-M'''
: Fånga rådatapaket inklusive dekrypterad nyttolast.
: När den används tillsammans med '''-D''', '''-L''', '''-S''' eller '''--list-time-stamp-types''' skrivs maskinläsbar utdata.
:
: Den maskinläsbara utdatan är avsedd att läsas av '''Wireshark''' och '''TShark'''. Formatet kan ändras mellan olika versioner.


Använd till exempel:
; '''-n'''
: Spara filer som '''pcapng'''.
:
: Detta är standard.
:
: Denna flagga är föråldrad och kan komma att tas bort.


<pre>
; '''-N <paketgräns>'''
isakmp/decrypted---outside
: Begränsa antalet paket som används för att lagra fångade paket i minnet medan de bearbetas.
</pre>
:
: Om detta används tillsammans med flaggan '''-C''' gäller båda gränserna.
:
: Om denna gräns anges aktiveras användning av en separat tråd per gränssnitt.


för att fånga krypterad och dekrypterad ISAKMP-trafik på gränssnittet '''outside'''.
; '''-p|--no-promiscuous-mode'''
: Sätt inte gränssnittet i promiscuous mode.
:
: Observera att gränssnittet kan vara i promiscuous mode av någon annan orsak. Därför kan '''-p''' inte användas för att garantera att den enda trafik som fångas är trafik till eller från maskinen där '''Dumpcap''' körs, broadcast-trafik och multicast-trafik till adresser som tas emot av den maskinen.
:
: Denna flagga kan förekomma flera gånger.
:
: Om den används före den första förekomsten av flaggan '''-i''' kommer inget gränssnitt att sättas i promiscuous mode.
:
: Om den används efter en '''-i'''-flagga kommer det gränssnitt som anges av den senaste '''-i'''-flaggan före denna flagga inte att sättas i promiscuous mode.


; '''--remote-count=<antal>'''
; '''-P'''
: Antal paket att fånga.
: Spara filer som '''pcap''' i stället för standardformatet '''pcapng'''.
:
: I situationer som kräver '''pcapng''', till exempel fångst från flera gränssnitt, kommer denna flagga att åsidosättas.
:
:
: Fångsten stoppas när detta antal har nåtts.
: Denna flagga är föråldrad till förmån för '''-F''' och kan komma att tas bort.


; '''--extcap-capture-filter=<fångstfilter>'''
; '''-q'''
: Oanvänd. Finns endast för kompatibilitet.
: Visa inte den löpande räknaren över fångade paket som normalt visas när en fångst sparas till fil.
:
: Visa i stället endast ett antal fångade paket vid slutet av fångsten.
:
: På system som stöder signalen '''SIGINFO''', till exempel olika BSD-system, kan du visa den aktuella räknaren genom att skriva ditt “status”-tecken, vanligtvis '''Ctrl-T'''. På vissa BSD-system kan det dock vara inaktiverat som standard och behöva aktiveras uttryckligen.


== Exempel ==
; '''-Q'''
: Vid paketfångst, visa inte följande på standardfel:
:
:* det inledande meddelandet som anger vilka gränssnitt fångsten sker på
:* meddelanden som anger vilken fil en fångst skrivs till
:* den löpande räknaren över fångade paket
:* meddelandet vid slutet av fångsten med antalet fångade paket
:
: Detta ger mindre utdata än flaggan '''-q'''. Endast verkliga fel visas på standardfel.
:
: På system som stöder signalen '''SIGINFO''', till exempel olika BSD-system, kan du visa den aktuella räknaren genom att skriva ditt “status”-tecken, vanligtvis '''Ctrl-T'''. På vissa BSD-system kan det dock vara inaktiverat som standard och behöva aktiveras uttryckligen.


Visa programmets argument:
; '''-s|--snapshot-length <snaplen för fångst>'''
: Ange standardlängden för snapshot vid fångst av live-data.
:
: Högst '''snaplen''' byte av varje nätverkspaket läses in i minnet eller sparas på disk.
:
: Värdet '''0''' anger en snapshot-längd på '''262144''', så att hela paketet fångas. Detta är standard.
:
: Denna flagga kan förekomma flera gånger.
:
: Om den används före den första förekomsten av flaggan '''-i''' anger den standardlängden för snapshot.
:
: Om den används efter en '''-i'''-flagga anger den snapshot-längden för det gränssnitt som anges av den senaste '''-i'''-flaggan före denna flagga.
:
: Om snapshot-längden inte anges specifikt används standardlängden, om en sådan har angetts.


<pre>
; '''-S'''
ciscodump --help
: Skriv ut statistik för varje gränssnitt en gång per sekund.
</pre>


Visa programmets version:
; '''-t'''
: Använd en separat tråd per gränssnitt.


; '''--temp-dir <katalog>'''
: Anger katalogen där temporära filer, inklusive fångstfiler, ska skrivas.
:
: Standardbeteendet på Unix-kompatibla system, såsom Linux, macOS, *BSD, Solaris och AIX, är att använda miljövariabeln '''$TMPDIR''' om den är satt, och annars systemets standardkatalog, normalt '''/tmp'''.
:
: På Windows används miljövariabeln '''%TEMP%''', som vanligtvis motsvarar:
:
<pre>
<pre>
ciscodump --version
%USERPROFILE%\AppData\Local\Temp
</pre>
</pre>


Visa gränssnitt:
; '''-v|--version'''
: Skriv ut fullständig versionsinformation och avsluta.


<pre>
; '''-w <utfil>'''
ciscodump --extcap-interfaces
: Skriv rå paketdata till '''utfil'''.
</pre>
:
: Använd '''-''' för standardutmatning.


Endast ett gränssnitt stöds:
; '''-y|--linktype <länklagertyp för fångst>'''
: Ange datalänktypen som ska användas vid paketfångst.
:
: Värdena som rapporteras av '''-L''' är de värden som kan användas.
:
: Denna flagga kan förekomma flera gånger.
:
: Om den används före den första förekomsten av flaggan '''-i''' anger den standardlänklagertypen för fångst.
:
: Om den används efter en '''-i'''-flagga anger den länklagertypen för det gränssnitt som anges av den senaste '''-i'''-flaggan före denna flagga.
:
: Om länklagertypen inte anges specifikt används standardlänklagertypen, om en sådan har angetts.


; '''--application-flavor [wireshark|stratoshark]'''
: Ange programvariant.
:
: Detta gör att utdata från '''-D''' och annat beteende anpassas för paketfångst eller systemanrops- och loggfångst.
:
: Standardvarianten är:
:
<pre>
<pre>
ciscodump
wireshark
</pre>
</pre>


Exempelutdata:
; '''--capture-comment <kommentar>'''
: Lägg till en fångstkommentar i utdatafilen, om det stöds av utdatafilformatet.
:
: Denna flagga är endast tillgänglig om de fångade paketen skrivs till en enda fil.
:
: Flaggan kan anges flera gånger.
:
: Observera att Wireshark för närvarande endast visar den första kommentaren i en fångstfil.


<pre>
; '''--list-time-stamp-types'''
interface {value=ciscodump}{display=SSH remote capture}
: Lista de tidsstämpeltyper som stöds för gränssnittet.
</pre>
:
: Om ingen tidsstämpeltyp kan anges listas inga tidsstämpeltyper.


Visa gränssnittets DLT:er:
; '''--no-optimize'''
: Kör inte '''libpcap'''-optimeraren när kod genereras för ett fångstfilter.
:
: Detta är användbart om du misstänker en bugg i optimeraren, eller i utbildningssyfte.
:
: Denna flagga kan förekomma flera gånger.
:
: Om den används före den första förekomsten av flaggan '''-i''' optimeras inte fångstfilter för några gränssnitt.
:
: Om den används efter en '''-i'''-flagga optimeras inte fångstfiltret för det gränssnitt som anges av den senaste '''-i'''-flaggan före denna flagga.


<pre>
; '''--time-stamp-type <typ>'''
ciscodump --extcap-interface=ciscodump --extcap-dlts
: Ändra gränssnittets metod för tidsstämpling.
</pre>


Exempelutdata:
; '''--update-interval <intervall>'''
: Ange tiden i millisekunder mellan nya paketrapporter under en fångst.
:
: Detta anger även granulariteten för villkor som baseras på filvaraktighet.
:
: Standardvärdet är '''100 ms'''.


<pre>
== Diagnostikflaggor ==
dlt {number=147}{name=ciscodump}{display=Remote capture dependent DLT}
</pre>
 
Visa gränssnittets konfigurationsalternativ:


; '''--log-level <nivå>'''
: Ange den aktiva loggnivån.
:
: Stödda nivåer, från lägst till högst, är:
:
<pre>
<pre>
ciscodump --extcap-interface=ciscodump --extcap-config
noisy
debug
info
message
warning
critical
error
</pre>
</pre>
:
: Meddelanden på den angivna nivån och högre skrivs ut. Till exempel skriver '''warning''' ut meddelanden på nivåerna '''warning''', '''critical''' och '''error''', medan '''noisy''' skriver ut alla meddelanden.
:
: Nivåer är inte skiftlägeskänsliga.


Exempelutdata:
; '''--log-fatal <nivå>'''
: Avbryt programmet om något meddelande loggas på den angivna nivån eller högre.
:
: Till exempel gör '''warning''' att programmet avbryts vid alla meddelanden på nivåerna '''warning''', '''critical''' eller '''error'''.


; '''--log-domains <lista>'''
: Skriv endast ut meddelanden för de angivna loggdomänerna, till exempel:
:
<pre>
<pre>
ciscodump --extcap-interface=ciscodump --extcap-config
GUI,Epan,sshdump
arg {number=0}{call=--remote-host}{display=Remote SSH server address}
    {type=string}{tooltip=The remote SSH host. It can be both an IP address or a hostname}
    {required=true}{group=Server}
arg {number=1}{call=--remote-port}{display=Remote SSH server port}
    {type=unsigned}{default=22}{tooltip=The remote SSH host port (1-65535)}
    {range=1,65535}{group=Server}
arg {number=2}{call=--remote-username}{display=Remote SSH server username}
    {type=string}{default=<current user>}{tooltip=The remote SSH username. If not provided, the current user will be used}
    {group=Authentication}
arg {number=3}{call=--remote-password}{display=Remote SSH server password}
    {type=password}{tooltip=The SSH password, used when other methods (SSH agent or key files) are unavailable.}
    {group=Authentication}
arg {number=4}{call=--sshkey}{display=Path to SSH private key}
    {type=fileselect}{tooltip=The path on the local filesystem of the private ssh key}
    {group=Authentication}
arg {number=5}{call=--proxycommand}{display=ProxyCommand}
    {type=string}{tooltip=The command to use as proxy for the SSH connection}{group=Authentication}
arg {number=6}{call--sshkey-passphrase}{display=SSH key passphrase}
    {type=password}{tooltip=Passphrase to unlock the SSH private key}{group=Authentication
arg {number=7}{call=--remote-interface}{display=Remote interface}
    {type=string}{tooltip=The remote network interface used for capture}
    {required=true}{group=Capture}
arg {number=8}{call=--remote-filter}{display=Remote capture filter}
    {type=string}{tooltip=The remote capture filter}{default=<filter to exclude current host>}
    {group=Capture}
arg {number=9}{call=--remote-count}{display=Packets to capture}
    {type=unsigned}{tooltip=The number of remote packets to capture.}
    {required=true}{group=Capture}
arg {number=10}{call=--debug}{display=Run in debug mode}
    {type=boolflag}{default=false}{tooltip=Print debug messages}
    {required=false}{group=Debug}
arg {number=11}{call=--debug-file}{display=Use a file for debug}
    {type=string}{tooltip=Set a file where the debug messages are written}
    {required=false}{group=Debug}
</pre>
</pre>
:
: Listan över domäner måste vara kommaseparerad.
:
: Den kan negeras med '''!''' som första tecken, vilket inverterar matchningen.


Fånga IOS eller IOS-XE:
; '''--log-debug <lista>'''
: Tvinga de angivna domänerna att logga nivån '''debug'''.
:
: Listan över domäner måste vara kommaseparerad.
:
: Den kan negeras med '''!''' som första tecken, vilket inverterar matchningen.


<pre>
; '''--log-noisy <lista>'''
ciscodump --extcap-interface ciscodump --fifo=/tmp/cisco.pcap --capture --remote-host 192.168.1.10
: Tvinga de angivna domänerna att logga på nivån '''noisy'''.
    --remote-username user --remote-interface gigabit0/0,gigabit0/1
:
    --remote-filter "permit ip host 192.168.1.1 any, permit ip any host 192.168.1.1"
: Listan över domäner måste vara kommaseparerad.
    --remote-count=10
:
</pre>
: Den kan negeras med '''!''' som första tecken, vilket inverterar matchningen.


Fånga på IOS eller IOS-XE:
; '''--log-fatal-domains <lista>'''
 
: Avbryt programmet om några meddelanden loggas för de angivna loggdomänerna.
<pre>
:
ciscodump --extcap-interface ciscodump --fifo=/tmp/cisco.pcap --capture --remote-host 192.168.1.10
: Listan över domäner måste vara kommaseparerad.
    --remote-username user --remote-interface outside,dmz
    --remote-filter "permit host 192.168.1.1 any4, permit any4 host 192.168.1.1"
    --remote-count=10
</pre>
 
Exempel med dekrypterad rådata på ASA:


<pre>
; '''--log-file <sökväg>'''
ciscodump --extcap-interface ciscodump --fifo=/tmp/cisco.pcap --capture --remote-host 192.168.1.10
: Skriv loggmeddelanden och standardfel till den angivna filen.
    --remote-username user --remote-interface raw-data/decrypted---outside
    --remote-filter "permit host 192.168.1.1 any4, permit any4 host 192.168.1.1"
</pre>


== Kända problem ==
== Syntax för fångstfilter ==


När fångsten stoppas av användaren innan den är färdig på Windows-plattformen rensas inte konfigurationen på enheten.
Se manualsidan för '''pcap-filter(7)''' eller, om den inte finns, '''tcpdump(8)'''.


Nästa körning kommer troligen att misslyckas eftersom delar av konfigurationen redan finns på enheten.
Om ingen av dessa finns, se:


Läsprestandan på IOS och IOS-XE är dålig eftersom fångstbufferten läses om och om igen.
* https://gitlab.com/wireshark/wireshark/-/wikis/CaptureFilters
 
Konfigurationen av fångsten på enheten är en flerstegsprocess. Om SSH-anslutningen avbryts under processen kan konfigurationen hamna i ett inkonsekvent tillstånd.
 
Detta kan också hända om fångsten stoppas och '''ciscodump''' inte kan rensa upp konfigurationen.
 
I så fall är det nödvändigt att logga in på enheten och rensa konfigurationen manuellt genom att ta bort följande konfigurationselement:
 
=== IOS ===
 
* fångstpunkter '''WSC_P_<nummer>''', beroende på antalet fångstgränssnitt
* fångstbufferten '''WSC_B'''
* fångst-ACL:en '''WSC_ACL''', om filter användes
 
=== IOS-XE ===
 
* fångsten '''WSC'''
* fångst-ACL:en '''WSC_ACL''', om filter användes
 
=== ASA ===
 
* fångsten '''WSC'''
* fångst-ACL:en '''WSC_ACL''', om filter användes
 
På IOS-plattformar utfärdas endast IPv4-kommandon och endast IPv4-paket fångas.


== Se även ==
== Se även ==


* '''wireshark(1)'''
* '''[[wireshark(1)]]'''
* '''tshark(1)'''
* '''[[tshark(1)]]'''
* '''dumpcap(1)'''
* '''[[editcap(1)]]'''
* '''extcap(4)'''
* '''[[mergecap(1)]]'''
* '''sshdump(1)'''
* '''[[capinfos(1)]]'''
* '''[[pcap(3)]]'''
* '''[[pcap-filter(7)]]''' eller '''[[tcpdump(8)]]'''


== Noteringar ==
== Noteringar ==


'''ciscodump''' är en del av '''Wireshark'''-distributionen.
Detta är manualsidan för '''Dumpcap 4.7.0'''.
 
'''Dumpcap''' är en del av '''Wireshark'''-distributionen.


Den senaste versionen av '''Wireshark''' finns på:
Den senaste versionen av '''Wireshark''' finns på:
Rad 423: Rad 615:
== Författare ==
== Författare ==


Ursprunglig författare:
'''Dumpcap''' härstammar från Wiresharks fångstmotor. Se listan över författare i manualsidan för '''Wireshark''' för en lista över författarna till den koden.
 
* Dario Lombardo <lomato[AT]gmail.com>


== Kolofon ==
== Kolofon ==
Rad 453: Rad 643:
* man-pages@man7.org
* man-pages@man7.org


== Sidor som hänvisar till denna sida ==


* '''[[androiddump(1)]]'''
* '''[[capinfos(1)]]'''
* '''[[captype(1)]]'''
* '''[[ciscodump(1)]]'''
* '''[[dpauxmon(1)]]'''
* '''[[dumpcalls(1)]]'''
* '''[[editcap(1)]]'''
* '''[[etwdump(1)]]'''
* '''[[falcodump(1)]]'''
* '''[[mergecap(1)]]'''
* '''[[randpktdump(1)]]'''
* '''[[rawshark(1)]]'''
* '''[[reordercap(1)]]'''
* '''[[sdjournal(1)]]'''
* '''[[sshdig(1)]]'''
* '''[[sshdump(1)]]'''
* '''[[strato(1)]]'''
* '''[[stratoshark(1)]]'''
* '''[[text2pcap(1)]]'''
* '''[[tshark(1)]]'''
* '''[[udpdump(1)]]'''
* '''[[wireshark(1)]]'''
* '''[[extcap(4)]]'''


= Sidslut =
= Sidslut =

Nuvarande version från 7 maj 2026 kl. 13.44

dumpcap(1) – Linux manualsida

Namn

dumpcap – dumpa nätverkstrafik.

Synopsis

dumpcap [ -a|--autostop <villkor för automatisk stopp av fångst> ] ...
        [ -b|--ring-buffer <alternativ för ringbuffertfångst> ] ...
        [ -B|--buffer-size <storlek på fångstbuffert> ]
        [ -c <antal paket att fånga> ]
        [ -C <bytegräns> ]
        [ -d ]
        [ -D|--list-interfaces ]
        [ -f <fångstfilter> ]
        [ -F <filformat> ]
        [ -g ]
        [ -i|--interface <fångstgränssnitt>|rpcap://<värd>:<port>/<fångstgränssnitt>|TCP@<värd>:<port>|- ]
        [ -I|--monitor-mode ]
        [ -k <frekvens>,[<typ>],[<center_frekvens1>],[<center_frekvens2>] ]
        [ -L|--list-data-link-types ]
        [ -M ]
        [ -n ]
        [ -N <paketgräns> ]
        [ -p|--no-promiscuous-mode ]
        [ --ifdescr <beskrivning> ]
        [ --ifname <namn> ]
        [ -P ]
        [ -q ]
        [ -Q ]
        [ -s|--snapshot-length <snaplen för fångst> ]
        [ -S ]
        [ -t ]
        [ --temp-dir <katalog> ]
        [ -w <utfil> ]
        [ -y|--linktype <länklagertyp för fångst> ]
        [ --application-flavor [wireshark|stratoshark] ]
        [ --capture-comment <kommentar> ]
        [ --list-time-stamp-types ]
        [ --no-optimize ]
        [ --time-stamp-type <typ> ]
        [ --update-interval <intervall> ]

dumpcap -h|--help

dumpcap -v|--version

Beskrivning

Dumpcap är ett verktyg för att dumpa nätverkstrafik. Det låter dig fånga paketdata från ett aktivt nätverk och skriva paketen till en fil.

Dumpcaps standardformat för fångstfiler är pcapng. Flaggan -F kan anges för att skriva utdatafilen i formatet pcap i stället.

Om inga flaggor anges använder programmet biblioteket libpcap eller Npcap för att fånga trafik från det första tillgängliga nätverksgränssnittet. Det skriver mottagen rå paketdata, tillsammans med paketens tidsstämplar, till en fångstfil.

Om flaggan -w inte anges skriver Dumpcap till en ny fångstfil med ett slumpmässigt valt namn.

Om flaggan -w anges skriver Dumpcap till den fil som anges med den flaggan.

Paketfångst utförs med pcap-biblioteket. Syntaxen för fångstfilter följer reglerna för pcap-biblioteket.

Flaggor

-a|--autostop <villkor för automatisk stopp av fångst>
Ange ett kriterium som bestämmer när Dumpcap ska sluta skriva till en fångstfil.
Kriteriet har formen:
test:värde
där test är något av följande:
duration:<värde>
Sluta skriva till en fångstfil efter att värde sekunder har gått.
Flyttalsvärden, till exempel 0.5, är tillåtna.
files:<värde>
Sluta skriva till fångstfiler efter att värde antal filer har skrivits.
filesize:<värde>
Sluta skriva till en fångstfil när den når storleken värde kB.
Om denna flagga används tillsammans med -b slutar dumpcap skriva till den aktuella fångstfilen och byter till nästa när filstorleken nås.
Observera att filstorleken är begränsad till ett maxvärde på 2 TB.
packets:<värde>
Sluta skriva till en fångstfil efter att värde paket har skrivits.
Fungerar på samma sätt som:
-c <antal paket att fånga>
-b|--ring-buffer <alternativ för ringbuffertfångst>
Gör att Dumpcap körs i läget “flera filer”.
I läget “flera filer” skriver Dumpcap till flera fångstfiler. När den första fångstfilen fylls upp växlar Dumpcap till att skriva till nästa fil, och så vidare.
De skapade filnamnen baseras på filnamnet som anges med flaggan -w, filens nummer samt skapelsedatum och skapelsetid.

Exempel: 

outfile_00001_20260714120117.pcapng
outfile_00002_20260714120523.pcapng

Med alternativet files är det också möjligt att skapa en “ringbuffert”. Detta fyller nya filer tills det angivna antalet filer har uppnåtts. Därefter kastar Dumpcap data i den första filen och börjar skriva till den igen, och så vidare.

Om alternativet files inte anges fylls nya filer tills något av stoppvillkoren för fångsten matchar, eller tills disken är full.

Kriteriet har formen: 

nyckel:värde

där nyckel är något av följande:

duration:<värde>
Växla till nästa fil efter att värde sekunder har gått, även om den aktuella filen inte är helt fylld.
Flyttalsvärden, till exempel 0.5, är tillåtna.
files:<värde>
Börja om med den första filen efter att värde antal filer har skrivits. Detta skapar en ringbuffert.
Värdet måste vara mindre än 100000.
Var försiktig när du använder stora antal filer. Vissa filsystem hanterar inte många filer i en enda katalog särskilt bra.
Kriteriet files kräver att antingen duration, interval eller filesize anges för att styra när programmet ska gå vidare till nästa fil.
Observera att varje -b-parameter tar exakt ett kriterium. För att ange två kriterier måste varje kriterium föregås av flaggan -b.
filesize:<värde>
Växla till nästa fil när den når storleken värde kB.
Observera att filstorleken är begränsad till ett maxvärde på 2 TB.
interval:<värde>
Växla till nästa fil när tiden är en exakt multipel av värde sekunder.
Använd till exempel 3600 för att växla till en ny fil varje heltimme.
packets:<värde>
Växla till nästa fil efter att den innehåller värde paket.
printname:<filnamn>
Skriv namnet på den senast skrivna filen till filnamn efter att filen har stängts.
filnamn kan vara:
  • stdout eller - för standardutmatning
  • stderr för standardfel

Exempel: 

-b filesize:1000 -b files:5

Detta resulterar i en ringbuffert med fem filer om en megabyte vardera.

-B|--buffer-size <storlek på fångstbuffert>
Ange storleken på fångstbufferten i MiB. Standardvärdet är 2 MiB.
Detta används av fångstdrivrutinen för att buffra paketdata tills dessa data kan skrivas till disk.
Om du får paketförluster under fångst, försök öka denna storlek.
Observera att även om Dumpcap försöker sätta buffertstorleken till 2 MiB som standard, och kan instrueras att sätta den till ett större värde, kan systemet eller gränssnittet där fångsten sker tyst begränsa fångstbuffertens storlek till ett lägre värde eller höja den till ett högre värde.
Detta är tillgängligt på Unix-kompatibla system, såsom Linux, macOS, *BSD, Solaris och AIX, med libpcap 1.0.0 eller senare, samt på Windows.
Det är inte tillgängligt på Unix-kompatibla system med tidigare versioner av libpcap.
Denna flagga kan förekomma flera gånger.
Om den används före den första förekomsten av flaggan -i anger den standardstorleken för fångstbufferten.
Om den används efter en -i-flagga anger den storleken på fångstbufferten för det gränssnitt som anges av den senaste -i-flaggan före denna flagga.
Om fångstbuffertens storlek inte anges specifikt används standardstorleken i stället.
-c <antal paket att fånga>
Ange det maximala antalet paket att läsa vid fångst av live-data.
Fungerar på samma sätt som:
-a packets:<antal paket att fånga>
-C <bytegräns>
Begränsa mängden minne, i byte, som används för att lagra fångade paket i minnet medan de bearbetas.
Om detta används tillsammans med flaggan -N gäller båda gränserna.
Om denna gräns anges aktiveras användning av en separat tråd per gränssnitt.
-d
Dumpa koden som genereras för fångstfiltret eller fångstfiltren i läsbar form och avsluta.
Om fångst sker på flera gränssnitt skrivs fångstfiltret för varje gränssnitt ut i den ordning som gränssnitten angavs.
Observera att ett fångstfilter kan kompileras olika på olika gränssnitt.
-D|--list-interfaces
Skriv ut en lista över de gränssnitt där Dumpcap kan fånga trafik och avsluta.
För varje nätverksgränssnitt skrivs ett nummer och ett gränssnittsnamn ut, eventuellt följt av en textbeskrivning av gränssnittet.
Gränssnittsnamnet eller numret kan anges till flaggan -i för att välja vilket gränssnitt som ska användas för fångst.
Numret kan vara användbart på Windows-system, där gränssnitten har långa namn som ofta innehåller en GUID.
-f <fångstfilter>
Ange fångstfilteruttrycket.
Hela filteruttrycket måste anges som ett enda argument. Om det innehåller mellanslag måste det därför citeras.
Denna flagga kan förekomma flera gånger.
Om den används före den första förekomsten av flaggan -i anger den standarduttrycket för fångstfilter.
Om den används efter en -i-flagga anger den fångstfilteruttrycket för det gränssnitt som anges av den senaste -i-flaggan före denna flagga.
Om fångstfilteruttrycket inte anges specifikt används standarduttrycket, om ett sådant har angetts.
-F <filformat>
Ange filformatet för den utgående fångstfilen som skrivs med flaggan -w.
I situationer som kräver formatet pcapng, till exempel fångst från flera gränssnitt, kommer denna flagga att åsidosättas.
Flaggan -F utan värde listar tillgängliga format.
Standardformatet är pcapng.
Färre format stöds än av tshark(1). Detta är avsiktligt av säkerhetsskäl.
Använd tshark, eller fånga först och konvertera därefter filen med editcap(1), om ett annat format behövs.
-g
Gör att utdatafilen eller utdatafilerna skapas med läsbehörighet för gruppen.
Det betyder att utdatafilen eller utdatafilerna kan läsas av andra medlemmar i den anropande användarens grupp.
-h|--help
Skriv ut versionsnumret och flaggorna och avsluta.
-i|--interface <fångstgränssnitt>|rpcap://<värd>:<port>/<fångstgränssnitt>|TCP@<värd>:<port>|-
Ange namnet på det nätverksgränssnitt eller den pipe som ska användas för live-paketfångst.
Nätverksgränssnittsnamn bör matcha ett av namnen som listas av:
tshark -D
Ett nummer, som rapporteras av:
dumpcap -D
kan också användas.
Om inget gränssnitt anges söker Dumpcap igenom listan över gränssnitt och väljer det första icke-loopback-gränssnittet om det finns några sådana. Om det inte finns några icke-loopback-gränssnitt väljs det första loopback-gränssnittet.
Om det inte finns några gränssnitt alls rapporterar Dumpcap ett fel och startar inte fångsten.
Pipe-namn ska antingen vara namnet på en FIFO, alltså en namngiven pipe, eller - för att läsa data från standardindata.
På Windows-system måste pipe-namn ha formen:
\\.\pipe\pipename
Data som läses från pipes måste vara i standardformatet pcapng eller pcap.
pcapng-data måste ha samma byteordning som fångstvärden.
Formen:
TCP@<värd>:<port>
gör att Dumpcap försöker ansluta till den angivna porten på den angivna värden och läsa pcapng- eller pcap-data.
Denna flagga kan förekomma flera gånger.
Vid fångst från flera gränssnitt sparas fångstfilen i formatet pcapng, även om -P anges.
--ifdescr <beskrivning>
Använd beskrivning som beskrivning i fångstfilen för gränssnittet eller pipen som angavs före den med -i.
--ifname <namn>
Använd namn som namn i fångstfilen för gränssnittet eller pipen som angavs före den med -i.
-I|--monitor-mode
Sätt gränssnittet i “monitor mode”.
Detta stöds endast på IEEE 802.11 Wi-Fi-gränssnitt och endast på vissa operativsystem.
Observera att adaptern i monitor mode kan koppla från det nätverk den är associerad med. Därför kan du kanske inte använda några trådlösa nätverk med den adaptern.
Detta kan hindra åtkomst till filer på en nätverksserver, eller uppslagning av värdnamn eller nätverksadresser, om du fångar i monitor mode och inte är ansluten till ett annat nätverk med en annan adapter.
Denna flagga kan förekomma flera gånger.
Om den används före den första förekomsten av flaggan -i aktiveras monitor mode för alla gränssnitt.
Om den används efter en -i-flagga aktiveras monitor mode för det gränssnitt som anges av den senaste -i-flaggan före denna flagga.
-k <frekvens>,[<typ>],[<center_frekvens1>],[<center_frekvens2>]
Ange kanalen på gränssnittet.
Detta stöds endast på IEEE 802.11 Wi-Fi-gränssnitt och endast på vissa operativsystem.
frekvens är kanalens frekvens.
typ är kanaltypen för 802.11n och senare.
Värdena för typ är:
NOHT
Används för 802.11b/g-kanaler.
HT20
20 MHz-kanal.
HT40-
40 MHz primär kanal och en lägre sekundär kanal.
HT40+
40 MHz primär kanal och en högre sekundär kanal.
HE40
40 MHz-kanal, med centerfreq1 som dess centerfrekvens.
HT80
80 MHz-kanal, med centerfreq1 som dess centerfrekvens.
VHT80+80
Två kombinerade 80 MHz-kanaler, med centerfreq1 och centerfreq2 som centerfrekvenser för de två kanalerna.
VHT160
160 MHz-kanal, med centerfreq1 som dess centerfrekvens.
EHT320
320 MHz-kanal, med centerfreq1 som dess centerfrekvens.
-L|--list-data-link-types
Lista de datalänktyper som stöds av gränssnittet och avsluta.
De rapporterade länktyperna kan användas med flaggan -y.
-M
När den används tillsammans med -D, -L, -S eller --list-time-stamp-types skrivs maskinläsbar utdata.
Den maskinläsbara utdatan är avsedd att läsas av Wireshark och TShark. Formatet kan ändras mellan olika versioner.
-n
Spara filer som pcapng.
Detta är standard.
Denna flagga är föråldrad och kan komma att tas bort.
-N <paketgräns>
Begränsa antalet paket som används för att lagra fångade paket i minnet medan de bearbetas.
Om detta används tillsammans med flaggan -C gäller båda gränserna.
Om denna gräns anges aktiveras användning av en separat tråd per gränssnitt.
-p|--no-promiscuous-mode
Sätt inte gränssnittet i promiscuous mode.
Observera att gränssnittet kan vara i promiscuous mode av någon annan orsak. Därför kan -p inte användas för att garantera att den enda trafik som fångas är trafik till eller från maskinen där Dumpcap körs, broadcast-trafik och multicast-trafik till adresser som tas emot av den maskinen.
Denna flagga kan förekomma flera gånger.
Om den används före den första förekomsten av flaggan -i kommer inget gränssnitt att sättas i promiscuous mode.
Om den används efter en -i-flagga kommer det gränssnitt som anges av den senaste -i-flaggan före denna flagga inte att sättas i promiscuous mode.
-P
Spara filer som pcap i stället för standardformatet pcapng.
I situationer som kräver pcapng, till exempel fångst från flera gränssnitt, kommer denna flagga att åsidosättas.
Denna flagga är föråldrad till förmån för -F och kan komma att tas bort.
-q
Visa inte den löpande räknaren över fångade paket som normalt visas när en fångst sparas till fil.
Visa i stället endast ett antal fångade paket vid slutet av fångsten.
På system som stöder signalen SIGINFO, till exempel olika BSD-system, kan du visa den aktuella räknaren genom att skriva ditt “status”-tecken, vanligtvis Ctrl-T. På vissa BSD-system kan det dock vara inaktiverat som standard och behöva aktiveras uttryckligen.
-Q
Vid paketfångst, visa inte följande på standardfel:
  • det inledande meddelandet som anger vilka gränssnitt fångsten sker på
  • meddelanden som anger vilken fil en fångst skrivs till
  • den löpande räknaren över fångade paket
  • meddelandet vid slutet av fångsten med antalet fångade paket
Detta ger mindre utdata än flaggan -q. Endast verkliga fel visas på standardfel.
På system som stöder signalen SIGINFO, till exempel olika BSD-system, kan du visa den aktuella räknaren genom att skriva ditt “status”-tecken, vanligtvis Ctrl-T. På vissa BSD-system kan det dock vara inaktiverat som standard och behöva aktiveras uttryckligen.
-s|--snapshot-length <snaplen för fångst>
Ange standardlängden för snapshot vid fångst av live-data.
Högst snaplen byte av varje nätverkspaket läses in i minnet eller sparas på disk.
Värdet 0 anger en snapshot-längd på 262144, så att hela paketet fångas. Detta är standard.
Denna flagga kan förekomma flera gånger.
Om den används före den första förekomsten av flaggan -i anger den standardlängden för snapshot.
Om den används efter en -i-flagga anger den snapshot-längden för det gränssnitt som anges av den senaste -i-flaggan före denna flagga.
Om snapshot-längden inte anges specifikt används standardlängden, om en sådan har angetts.
-S
Skriv ut statistik för varje gränssnitt en gång per sekund.
-t
Använd en separat tråd per gränssnitt.
--temp-dir <katalog>
Anger katalogen där temporära filer, inklusive fångstfiler, ska skrivas.
Standardbeteendet på Unix-kompatibla system, såsom Linux, macOS, *BSD, Solaris och AIX, är att använda miljövariabeln $TMPDIR om den är satt, och annars systemets standardkatalog, normalt /tmp.
På Windows används miljövariabeln %TEMP%, som vanligtvis motsvarar:
%USERPROFILE%\AppData\Local\Temp
-v|--version
Skriv ut fullständig versionsinformation och avsluta.
-w <utfil>
Skriv rå paketdata till utfil.
Använd - för standardutmatning.
-y|--linktype <länklagertyp för fångst>
Ange datalänktypen som ska användas vid paketfångst.
Värdena som rapporteras av -L är de värden som kan användas.
Denna flagga kan förekomma flera gånger.
Om den används före den första förekomsten av flaggan -i anger den standardlänklagertypen för fångst.
Om den används efter en -i-flagga anger den länklagertypen för det gränssnitt som anges av den senaste -i-flaggan före denna flagga.
Om länklagertypen inte anges specifikt används standardlänklagertypen, om en sådan har angetts.
--application-flavor [wireshark|stratoshark]
Ange programvariant.
Detta gör att utdata från -D och annat beteende anpassas för paketfångst eller systemanrops- och loggfångst.
Standardvarianten är:
wireshark
--capture-comment <kommentar>
Lägg till en fångstkommentar i utdatafilen, om det stöds av utdatafilformatet.
Denna flagga är endast tillgänglig om de fångade paketen skrivs till en enda fil.
Flaggan kan anges flera gånger.
Observera att Wireshark för närvarande endast visar den första kommentaren i en fångstfil.
--list-time-stamp-types
Lista de tidsstämpeltyper som stöds för gränssnittet.
Om ingen tidsstämpeltyp kan anges listas inga tidsstämpeltyper.
--no-optimize
Kör inte libpcap-optimeraren när kod genereras för ett fångstfilter.
Detta är användbart om du misstänker en bugg i optimeraren, eller i utbildningssyfte.
Denna flagga kan förekomma flera gånger.
Om den används före den första förekomsten av flaggan -i optimeras inte fångstfilter för några gränssnitt.
Om den används efter en -i-flagga optimeras inte fångstfiltret för det gränssnitt som anges av den senaste -i-flaggan före denna flagga.
--time-stamp-type <typ>
Ändra gränssnittets metod för tidsstämpling.
--update-interval <intervall>
Ange tiden i millisekunder mellan nya paketrapporter under en fångst.
Detta anger även granulariteten för villkor som baseras på filvaraktighet.
Standardvärdet är 100 ms.

Diagnostikflaggor

--log-level <nivå>
Ange den aktiva loggnivån.
Stödda nivåer, från lägst till högst, är:
noisy
debug
info
message
warning
critical
error
Meddelanden på den angivna nivån och högre skrivs ut. Till exempel skriver warning ut meddelanden på nivåerna warning, critical och error, medan noisy skriver ut alla meddelanden.
Nivåer är inte skiftlägeskänsliga.
--log-fatal <nivå>
Avbryt programmet om något meddelande loggas på den angivna nivån eller högre.
Till exempel gör warning att programmet avbryts vid alla meddelanden på nivåerna warning, critical eller error.
--log-domains <lista>
Skriv endast ut meddelanden för de angivna loggdomänerna, till exempel:
GUI,Epan,sshdump
Listan över domäner måste vara kommaseparerad.
Den kan negeras med ! som första tecken, vilket inverterar matchningen.
--log-debug <lista>
Tvinga de angivna domänerna att logga på nivån debug.
Listan över domäner måste vara kommaseparerad.
Den kan negeras med ! som första tecken, vilket inverterar matchningen.
--log-noisy <lista>
Tvinga de angivna domänerna att logga på nivån noisy.
Listan över domäner måste vara kommaseparerad.
Den kan negeras med ! som första tecken, vilket inverterar matchningen.
--log-fatal-domains <lista>
Avbryt programmet om några meddelanden loggas för de angivna loggdomänerna.
Listan över domäner måste vara kommaseparerad.
--log-file <sökväg>
Skriv loggmeddelanden och standardfel till den angivna filen.

Syntax för fångstfilter

Se manualsidan för pcap-filter(7) eller, om den inte finns, tcpdump(8).

Om ingen av dessa finns, se:

Se även

Noteringar

Detta är manualsidan för Dumpcap 4.7.0.

Dumpcap är en del av Wireshark-distributionen.

Den senaste versionen av Wireshark finns på:

HTML-versioner av Wireshark-projektets manualsidor finns på:

Författare

Dumpcap härstammar från Wiresharks fångstmotor. Se listan över författare i manualsidan för Wireshark för en lista över författarna till den koden.

Kolofon

Den här sidan är en del av projektet wireshark, för interaktiv dumpning och analys av nätverkstrafik.

Information om projektet finns på:

Om du har en felrapport för denna manualsida, se:

Denna sida hämtades från projektets uppströms Git-arkiv: 

https://gitlab.com/wireshark/wireshark.git

Sidan hämtades den 16 januari 2026.

Vid den tidpunkten var datumet för den senaste commit som hittades i arkivet 16 januari 2026.

Om du upptäcker renderingsproblem i HTML-versionen av sidan, känner till en bättre eller mer uppdaterad källa, eller har rättelser eller förbättringar av informationen i denna kolofon, skicka e-post till:

  • man-pages@man7.org

Sidor som hänvisar till denna sida

Sidslut

Orginalhemsidan på Engelska https://man7.org/linux/man-pages/man1/dumpcap.1.html Det här är en maskinöversättning av Linux man sidor till svenska. Om du hittar fel är vi tacksamma om du rapporterar dem via formuläret som finns på https://www.linux.se/kontaka-linux-se/

Tack till Datorhjälp som har sponsrat Linux.se med webbhotell.

Hämtad från "https://wiki.linux.se/index.php?title=dumpcap(1)&oldid=9319"