mergecap(1)

NAMN

mergecap — sammanfogar två eller flera fångstfiler till en

SYNOPSIS

mergecap [ -a ] [ -F <filformat> ] [ -I <IDB-sammanslagningsläge> ] [ -s <snaplen> ] [ -V ] [ --no-merging-comment ] -w <utfil>|- <infil> [<infil> ...]

mergecap -h|--help

mergecap -v|--version

BESKRIVNING

Mergecap är ett program som kombinerar flera sparade fångstfiler till en enda utfil som anges med argumentet -w. Mergecap kan läsa fångstfiler i formaten pcap och pcapng, inklusive filer skapade av tcpdump, Wireshark och andra verktyg som skriver fångster i dessa format.

Som standard skriver Mergecap fångstfilen i formatet pcapng och skriver alla paket från indatafilerna till utdatafilen.

Mergecap kan upptäcka, läsa och skriva samma fångstfiler som stöds av Wireshark. Indatafilerna behöver ingen särskild filändelse; filformatet och eventuell komprimering med gzip, zstd eller lz4 upptäcks automatiskt.

Mergecap kan skriva filen i flera olika utformat. Flaggan -F används för att ange vilket format utdatafilen ska skrivas i. Kommandot mergecap -F visar en lista över tillgängliga utformat.

Paket från indatafilerna sammanfogas i kronologisk ordning baserat på varje rams tidsstämpel, om inte flaggan -a anges. Mergecap förutsätter att ramarna i en enskild fångstfil redan är lagrade i kronologisk ordning. När -a anges kopieras paketen direkt från varje indatafil till utdatafilen, oberoende av varje rams tidsstämpel.

Raminkapslingstypen i utdatafilen sätts till samma typ som i indatafilerna om alla indatafiler har samma typ. Om inte alla indatafiler har samma inkapslingstyp sätts utdatafilens typ till WTAP_ENCAP_PER_PACKET. Observera att vissa fångstfilformat, särskilt pcap, för närvarande inte stöder WTAP_ENCAP_PER_PACKET. I sådana fall misslyckas skapandet av utdatafilen.

ALTERNATIV

-a

Ignorerar ramtidsstämplarna och skriver alla paket från den första indatafilen följt av alla paket från den andra indatafilen, och så vidare. Som standard, när -a inte anges, sammanfogas indatafilerna i kronologisk ordning baserat på varje rams tidsstämpel.

Observera att mergecap vid sammanfogning antar att paketen inom en fångstfil redan är i kronologisk ordning.

-F <filformat>

Anger filformatet för utdatafilen. Mergecap kan skriva filen i flera format; mergecap -F visar en lista över tillgängliga format. Standardformatet är pcapng.

-h, --help

Skriv versionsnummer och alternativ och avsluta.

-I <IDB-sammanslagningsläge>

Anger vilket sammanslagningsläge för Interface Description Block (IDB) som ska användas vid sammanfogning. mergecap -I visar en lista över tillgängliga IDB-lägen.

Varje indatafil har en eller flera IDB-poster som beskriver gränssnittet eller gränssnitten som fångsten ursprungligen gjordes på. Detta inkluderar inkapslingstyp, gränssnittsnamn och liknande. När mergecap sammanfogar flera indatafiler måste dessa IDB-poster också sammanfogas i den nya utdatafilen. Denna flagga styr hur det sker.

Följande lägen finns:

• none — ingen sammanslagning av IDB-poster utförs; alla IDB-poster kopieras i stället till den sammanfogade utdatafilen.
• all — IDB-poster sammanfogas endast om alla indatafiler har samma antal IDB-poster och varje IDB motsvarar sin respektive post i de andra filerna. Detta är standardläget.
• any — alla dubbla IDB-poster sammanfogas till en enda IDB, oavsett i vilken fil de finns.

Observera att en IDB endast betraktas som en matchande dubblett om den har samma inkapslingstyp, namn, hastighet, tidsprecision, kommentarer, beskrivning och så vidare.

-s <snaplen>

Anger snapshot-längden som ska användas vid skrivning av data. Om -s används för att ange en snapshot-längd kommer ramar i indatafilen som innehåller mer fångad data än den angivna längden endast att skrivas till utdatafilen med så mycket data som snapshot-längden tillåter.

Detta kan vara användbart om programmet som ska läsa utdatafilen inte kan hantera paket större än en viss storlek.

-v, --version

Skriv fullständig versionsinformation och avsluta.

-V

Gör att mergecap skriver ut ett antal meddelanden medan det arbetar.

-w <utfil>|-

Anger namnet på utdatafilen. Om namnet är - används standardutmatning. Om flaggan --compress inte anges används filändelsen för att avgöra önskad komprimeringsmetod, om någon. Om namnet till exempel har filändelsen .gz komprimeras utdatafilen som ett gzip-arkiv.

Denna inställning är obligatorisk.

--compress <typ>

Komprimera utdatafilen med angivet komprimeringsformat. --compress utan argument visar en lista över komprimeringsformat som stöds för skrivning. Angiven typ har företräde framför filändelsen på utfil.

--no-merging-comment

Förhindra att kommentaren File created by merging:... genereras i utdatafilen.

Som standard genereras en flerradig fångstkommentar i den sammanfogade utdatafilen som listar alla filer som sammanfogas. Om den genererade kommentaren är längre än 65535 byte utelämnas den dock tyst.

DIAGNOSTIKALTERNATIV

--log-level <nivå>

Ange aktiv loggnivå. Nivåerna från lägst till högst är:

noisy, debug, info, message, warning, critical och error.

Meddelanden på angiven nivå och högre skrivs ut. Nivånamn är inte skiftlägeskänsliga.

--log-fatal <nivå>

Avbryt programmet om något meddelande loggas på angiven nivå eller högre.

--log-domains <lista>

Skriv endast ut meddelanden för de angivna loggdomänerna, till exempel GUI,Epan,sshdump. Listan ska vara kommaseparerad. Kan negeras med ! som första tecken.

--log-debug <lista>

Tvinga angivna domäner att logga på nivån debug. Listan ska vara kommaseparerad. Kan negeras med ! som första tecken.

--log-noisy <lista>

Tvinga angivna domäner att logga på nivån noisy. Listan ska vara kommaseparerad. Kan negeras med ! som första tecken.

--log-fatal-domains <lista>

Avbryt programmet om några meddelanden loggas för de angivna loggdomänerna. Listan ska vara kommaseparerad.

--log-file <sökväg>

Skriv loggmeddelanden och stderr-utmatning till den angivna filen.

EXEMPEL

För att sammanfoga två fångstfiler till en tredje fångstfil, där det sista paketet i den ena filen anländer 100 sekunder före det första paketet i den andra filen, används följande kommandosekvens.

Börja med att köra:

capinfos -aeS a.pcap b.pcap

för att bestämma start- och sluttiderna för de två fångstfilerna, uttryckta som sekunder sedan 1 januari 1970 00:00:00 UTC.

Om a.pcap börjar vid 1009932757 och b.pcap slutar vid 873660281, blir tidsjusteringen för b.pcap som gör att den slutar 100 sekunder före att a.pcap börjar:

1009932757 - 873660281 - 100 = 136272376 sekunder

Nästa steg är då att köra:

editcap -t 136272376 b.pcap b-shifted.pcap

för att skapa en version av b.pcap där tidsstämplarna flyttats fram med 136272376 sekunder.

Slutligen används:

mergecap -w compare.pcap a.pcap b-shifted.pcap

för att sammanfoga a.pcap och den tidsjusterade b-shifted.pcap till compare.pcap.

SE ÄVEN

• pcap(3)
• wireshark(1)
• tshark(1)
• dumpcap(1)
• editcap(1)
• text2pcap(1)
• pcap-filter(7)
• tcpdump(8)

ANMÄRKNINGAR

Mergecap bygger i hög grad på editcap av Richard Sharpe och Guy Harris.

Detta är manualsidan för Mergecap 4.7.0. Mergecap är en del av Wireshark-distributionen.

FÖRFATTARE

Ursprunglig författare

Scott Renfro

Bidragsgivare

Bill Guyton

Sidslut

Orginalhemsidan på Engelska https://man7.org/linux/man-pages/man1/mergecap.1.html Det här är en maskinöversättning av Linux man sidor till svenska. Om du hittar fel är vi tacksamma om du rapporterar dem via formuläret som finns på https://www.linux.se/kontaka-linux-se/

Tack till PC Service som har sponsrat Linux.se med webbhotell.