我有四个导出选项:-Libcap -Html -Text -App Data
我显然可以读取 Html 和文本数据,但是它们的格式非常糟糕,以便能够在 Excel 中进行切片和切块,或者最好是导入到我可以最好地分析它的 SQL Server 中。
我不熟悉 Libcap 或 App Data 选项,因为我不是网络专家。首先,我只是试图将这些数据转换为可用的格式,我可以尝试识别我们拥有的大多数流量是否合法,并可能在必要时阻止某些 IP。
我是一名软件开发人员,但不是真正的网络人,所以这可能不适合我,但我想我至少会问一下,看看是否有人能指出我正确的方向。
我获得了 SNSA (Sonicwall) 认证,并且每天都与 Sonicwall 一起为 MSP 工作,我们只使用带有wireshark 的 libpcap,因为它是最详细且 IMO 最容易使用的。您可以过滤流和用于嗅探网络流量的最佳工具,再次 IMO。
所有捕获的数据包都存储在内存中,然后显示在屏幕上,或通过浏览器以 html 格式显示,或通过记事本显示文本,或仅显示应用程序数据并跳过显示没有的数据包的应用程序数据任何第 7 层数据,例如 ping。
导出为:以您从下拉列表中选择的文件格式显示或保存当前缓冲区的快照。保存的文件被放置在您的本地管理系统中(管理界面正在运行的地方)。从以下格式中选择:
• Libpcap - 如果要使用 Wireshark(以前称为 Ethereal)网络协议分析器查看数据,请选择 Libpcap 格式。这也称为 libcap 或 pcap 格式。一个对话框允许您使用 Wireshark 打开缓冲区文件,或使用扩展名 .pcap 将其保存到本地硬盘驱动器。
• Html - 选择 Html 以使用浏览器查看数据。您可以使用“文件”>“另存为”将缓冲区的副本保存到硬盘。
• 文本- 选择文本以在文本编辑器中查看数据。一个对话框允许您使用注册的文本编辑器打开缓冲区文件,或将其保存到您的本地硬盘驱动器,扩展名为 .wri 。
• 应用程序数据- 选择应用程序数据仅查看数据包中包含的应用程序数据。捕获期间将跳过不包含应用程序数据的数据包。应用程序数据 = 捕获的数据包减去 L2、L3 和 L4 标头。