Dies ist der Befehl tcpslice, der im kostenlosen OnWorks-Hosting-Provider über eine unserer zahlreichen kostenlosen Online-Workstations wie Ubuntu Online, Fedora Online, Windows-Online-Emulator oder MAC OS-Online-Emulator ausgeführt werden kann
PROGRAMM:
NAME/FUNKTION
tcpslice - Teile von tcpdump-Dateien extrahieren und/oder zusammenführen
ZUSAMMENFASSUNG
TCPSlice [ -DdlRrt ] [ -w Datei ]
[ Startzeit [ Endzeit ]] Datei ...
BESCHREIBUNG
Tcpslice ist ein Programm zum Extrahieren von Teilen von Packet-Trace-Dateien, die mit
tcpdump(l)'s -w Flagge. Es kann auch verwendet werden, um mehrere solcher Dateien zusammenzuführen, z
nachfolgend diskutiert.
Die grundlegende Bedienung von TCPSlice ist zu kopieren nach stdout alle Pakete aus der/den Eingabedatei(en)
deren Zeitstempel in einen bestimmten Bereich fallen. Die Start- und Endzeiten des Sortiments
kann in der Befehlszeile angegeben werden. Alle Bereiche sind inklusive. Die Startzeit
stellt standardmäßig den frühesten Zeitpunkt des ersten Pakets in einer der Eingabedateien ein; wir nennen das
die zuerst Zeit. Die Endzeit beträgt standardmäßig zehn Jahre nach der Startzeit. Und so kam es dass der
Befehl TCPSlice Trace-Datei einfach kopieren Trace-Datei zu stdout (vorausgesetzt, die Datei tut es nicht
Daten aus mehr als zehn Jahren enthalten).
Es gibt verschiedene Möglichkeiten, Zeiten anzugeben. Die erste verwendet Unix-Zeitstempel der
unten stehende Formular sssssssss.uuuuuu (dies ist das von . angegebene Format tcpdump's -tt Flagge). Zum Beispiel,
654321098.7654 spezifiziert 38 Sekunden und 765,400 Mikrosekunden nach 8:51 Uhr PDT, 25. September,
1990
Alle Beispiele in diesem Handbuch beziehen sich auf PDT-Zeiten, aber bei der Anzeige von Zeiten und
Zeiten symbolisch interpretieren, wie unten besprochen, TCPSlice verwendet die lokale Zeitzone,
unabhängig von der Zeitzone, in der die tcpdump Datei erzeugt wurde. Die Sommerzeit
Die verwendete Einstellung ist diejenige, die für die lokale Zeitzone am betreffenden Datum geeignet ist.
Zeiten, die mit Sommermonaten verbunden sind, beinhalten beispielsweise normalerweise die Sommerzeit
Auswirkungen, und diejenigen mit Wintermonaten nicht.
Zeiten können auch relativ zu den zuerst Zeit (bei Angabe eines Start-
Uhrzeit) oder die Startzeit (bei Angabe einer Endzeit) durch Voranstellen eines numerischen Werts
in Sekunden mit einem `+'. Zum Beispiel eine Startzeit von +200 zeigt 200 Sekunden nach an
die zuerst Zeit und die beiden Argumente +200 +300 anzeigen ab 200 Sekunden nach dem zuerst
Zeit bis 500 Sekunden nach dem zuerst Zeit.
Zeiten können auch in Jahren (y), Monaten (m), Tagen (d), Stunden (h),
Minuten (m), Sekunden (s) und Mikrosekunden (u). Zum Beispiel der Unix-Zeitstempel
Die oben diskutierte 654321098.7654 könnte auch ausgedrückt werden als 1990y9m25d20h51m38s765400u. 2
oder 4-stellige Jahreszahlen können verwendet werden; 2 Stellen können Jahre von 1970 bis 2069 angeben.
Bei der Angabe von Zeiten mit diesem Stil werden ausgelassene Felder standardmäßig wie folgt angezeigt. Wenn
das weggelassene Feld ist eine Einheit mehr als der des ersten angegebenen Felds, dann sein Wert
wird standardmäßig auf den entsprechenden Wert von entweder zuerst Zeit (wenn die Startzeit ist
angegeben wird) oder die Startzeit (wenn die Endzeit angegeben wird). Wenn die
weggelassenes Feld ist eine Einheit weniger als das erste angegebene Feld, dann ist es standardmäßig
Null. Angenommen, die Eingabedatei hat a zuerst Zeit des Unix-Zeitstempels
oben erwähnt, dh 38 Sekunden und 765,400 Mikrosekunden nach 8:51 Uhr PDT, 25. September,
1990. Um 9:36PM PDT (genau) am selben Datum anzugeben, könnten wir verwenden 21h36m. Um a zu spezifizieren
reichen von 9:36 Uhr PDT bis 1:54 Uhr PDT am nächsten Tag, den wir verwenden könnten 21h36m 26d1h54m.
Relative Zeiten können auch angegeben werden, wenn die ymdhmsu Format. Ausgelassene Felder dann
Standardwert 0, wenn die Einheit des Feldes . ist mehr als das des ersten angegebenen Felds,
und auf den entsprechenden Wert aus entweder der zuerst Zeit oder die Startzeit, wenn
die Einheit des weggelassenen Feldes ist weniger als das des ersten angegebenen Felds. Angenommen zuerst
Zeit des oben erwähnten Unix-Zeitstempels, um 22 +1h10m gibt einen Bereich von 10:00 Uhr PDT an
an diesem Tag bis 11:10 Uhr PDT und +1 Std +1h10m gibt einen Bereich von 38.7654 Sekunden an
nach 9:51 Uhr PDT bis 38.7654 Sekunden nach 11:01 Uhr PDT. Die erste Stunde der Datei
könnte extrahiert werden mit +0 +1 Std.
Beachten Sie, dass mit dem ymdhmsu Format gibt es eine Mehrdeutigkeit zwischen der Verwendung m für 'Monat' oder für
'Minute'. Die Mehrdeutigkeit wird wie folgt aufgelöst: wenn an m Feld wird gefolgt von a d Feld
dann wird es als Angabe von Monaten interpretiert; andernfalls gibt es Minuten an.
Wenn mehr als eine Eingabedatei angegeben ist, dann TCPSlice führt die Pakete aus den verschiedenen zusammen
Eingabedateien in die einzelne Ausgabedatei. Normalerweise erfolgt diese Zusammenführung basierend auf dem Wert
der Zeitstempel in den Paketen in den einzelnen Dateien. (Tcpslice geht davon aus, dass .
in jeder Eingabedatei sind die Pakete in der Zeitstempelreihenfolge.) Wenn die -l Option verwendet wird, wird der Wert
Für die Bestellung wird der Zeitstempel eines bestimmten Pakets abzüglich des Zeitstempels des ersten verwendet
Paket in der Eingabedatei, in der das angegebene Paket vorkommt.
Beim Zusammenführen von Dateien standardmäßig TCPSlice werde alle verwerfen Duplikat Paket findet es in mehr
als eine Datei. Ein Duplikat ist ein Paket mit identischem Zeitstempel (entweder relativ
oder absolut) und identischer Paketinhalt (so viel wie erfasst wurde) wie ein anderes Paket
zuvor in einer anderen Datei gesehen. Beachten Sie, dass es für das Netzwerk möglich ist,
echte Replikate von Paketen und für Systeme, die denselben Zeitstempel für . zurückgeben können
mehrere Pakete, können diese mit Duplikaten verwechselt und verworfen werden. Entsprechend,
TCPSlice verwirft keine Duplikate in derselben Trace-Datei. Darüber hinaus können Sie die
-D Option, um das Verwerfen von Duplikaten zu unterdrücken.
Ein anderes Problem tritt auf, wenn eine Datei Zeitstempel enthält, die rückwärts springen. TCPSlice werden wir
nehmen Sie diese in die Ausgabe auf, auch wenn sie vor der angeforderten Mindestzeit liegen. Dort
sollte wahrscheinlich eine Option sein, diese zu unterdrücken.
Ein weiteres Problem im Zusammenhang mit Rückwärtszeitstempeln ist, dass TCPSlice verwendet wahlfreien Zugriff auf
eine Datei durchsuchen und nach Paketen suchen, die dem gewünschten Zeitbereich entsprechen. Während
Dies führt bei sehr großen Trace-Dateien zu einem großen Performance-Vorteil, es bedeutet auch
dass in Gegenwart von Rückwärtszeitstempeln TCPSlice kann nicht das wahre früheste finden
Auftreten eines Pakets, das den Zeitintervallkriterien entspricht. Es sollte wohl eine geben
Option, um anzugeben, dass kein Direktzugriff verwendet wird, sondern die Datei nur linear gelesen wird.
OPTIONAL
Wenn einer von -R, -r or -t sind dann angegeben TCPSlice meldet die Zeitstempel der ersten und
letzte Pakete in jeder Eingabedatei und Exits. Nur eine dieser drei Optionen kann sein
spezifiziert.
-D Verwerfen Sie keine doppelten Pakete, die beim Zusammenführen mehrerer Trace-Dateien angezeigt werden.
-d Geben Sie die Start- und Endzeiten aus, die durch den angegebenen Bereich angegeben sind, und beenden Sie. Diese Option ist
nützlich, um zu überprüfen, ob der angegebene Bereich tatsächlich die Zeiten angibt, die Sie denken
tut. Wenn einer von -R, -r or -t angegeben wurde, dann werden die Zeiten im
entsprechendes Format; andernfalls Rohformat ( -R) wird eingesetzt.
-l Wenn Sie mehr als eine Datei zusammenführen, führen Sie die Zusammenführung auf der Grundlage der relativen Zeit aus, anstatt
absolute Zeit. Normalerweise werden beim Zusammenführen von Dateien Pakete basierend auf
absolute Zeitstempel. Mit -l Pakete werden basierend auf der relativen Zeit zwischen
der Anfang der Datei, in der sich das Paket befindet, und der Zeitstempel des Pakets
selbst. Der Zeitstempel der Pakete in der Ausgabedatei wird als relatives
Zeit für das Paket in seiner Datei plus zuerst Zeit.
-R Geben Sie die Zeitstempel des ersten und letzten Pakets in jeder Eingabedatei als Rohdaten aus
Zeitstempel (dh in der Form sssssssss.uuuuuu).
-r Das gleiche wie -R außer dass die Zeitstempel in einem für Menschen lesbaren Format ausgegeben werden, ähnlich wie
das benutzt von Datum(1).
-t Das gleiche wie -R außer die Zeitstempel werden in TCPSlice Format, dh im
ymdhmsu oben besprochenen Format.
-w Leiten Sie die Ausgabe an Datei statt stdout.
Verwenden Sie tcpslice online mit den onworks.net-Diensten
