Wireshark は、すべてのデータをキャプチャしているので、データ量が多くなって困っていたが、どうやら最近の Wireshark には、キャプチャ用のフィルターと表示用のフィルターがあるとのことなので、調べてみた。
(1) キャプチャ用のフィルター
キャプチャ前にキャプチャの対象とするデータを選択するのに用いる。
特定のホストからのパケットのみを取得する場合、host 192.168.1.10 とする。
- メリット
キャプチャするデータのサイズを制限できる。 - デメリット
当然ながら取得していないデータを探すことができない。
(2) 表示用のフィルター
キャプチャしたデータを選択するのに用いる。
- メリット
すべてのデータからフィルタできる。 - デメリット
長時間キャプチャした場合、データのサイズが膨大になる。
以上