У меня есть проблема, которую я пытаюсь отследить, и я считаю, что проблема связана с физическим сетевым оборудованием. Я прочитал VMWare документацию по команде pktcap-uw, и я знаю, что могу использовать ее для сброса трафика в файл, который затем можно просмотреть с помощью Wireshark, но получаемые мной pcaps немного странные.
Глядя на документацию, я хочу видеть трафик только между двумя IP-адресами (IP A и IP B) на порту 80, и я могу использовать переключатель --ip, но если у меня есть --ip A --ip B, это логическое И или логическое ИЛИ.
tcpdump позволяет указать ИЛИ или И и использовать круглые скобки для создания полного логического выражения. Для pktcap-uw также есть --dstip и --srcip, но если вы используете эквивалент tcpdump, вы обычно получаете только половину разговора.
Какой будет правильный синтаксис?
Я только что тестировал pktcap-uw.
если у меня --ip A --ip B, это логическое И или логическое ИЛИ.
Когда вы указываете --ip два раза, используется только последний указанный параметр.
Если вы укажете разные типы опций, например. --ip и --tcpport, они объединены оператором AND.
Для pktcap-uw есть несколько параметров VProbe. Лучше всего предположить, что вы можете вручную скомпилировать сценарий VProbe, который фильтрует нужный вам трафик и передает его в pktcap-uw.
Нашел здесь репозиторий git с набором инструментов VProbe: https://github.com/vmware/vprobe-toolkit/