在捕捉包的过程中,每个包都带有时间戳。时间戳会被保存在捕捉文件中,以备将来分析用。
关于时间戳,时区以及相关的东西的描述介绍,见第 7.3 节 “时间戳”
包列表的时间戳格式预设和精度可在浏览菜单选择,见第 3.5 节 “"File"菜单”
可用的预置格式如下:
Date and Time of Day: 1970-01-01 01:02:03.123456 包捕捉的绝对日期和时间
Time of Day: 01:02:03.123456 包捕捉的绝对时间
Seconds Since Beginning of Capture: 123.123456 相对与文件开始捕捉的时间或第一个时间参考包的 到这个包之前的时间。(见第 6.10.1 节 “包参考时间”)
Seconds Since Previous Captured Packet: 1.123456 相对前一个捕捉包的时间
Seconds Since Previous Displayed Packet: 1.123456 相对前一个显示包的时间(过滤/显示)
可用精度(正如你所致的,数字是以10进制形式的)有:
Automatic 使用载入文件格式具有的时间戳精度。(默认选项)
Seconds, Deciseconds, Centiseconds, Milliseconds, Microseconds or Nanoseconds 强制使用你指定的精度。如果实际精度比你指定的低,会在后面自动追加0.如果实际精度比你指定的高。数据会被截尾。
精度距离:如果你有个时间戳,显示时使用:“Seconds Since Previous Packet”,:它的值可能是1.123456.默认会采用"Automatic"精度设置,也就是来自libpcap格式文件的固有精度(百万分之一秒)。如果你指定精度为秒,则显示为1,如果你使用。纳秒(nanoseconds),将会显示为1.123456000.
用户可以为包设置时间参考。时间参考是所有后续包的起算时间。如果你想知道到某一个特定包的时间间隔,会很有用。例如:开始一个新请求。可以在一个包里面设置多个参考时间。
![[]](wsug_graphics/Warning.png) | 警告 |
|---|---|
时间参考不能保存到包文件中,关闭文件后就会丢失。 |
![[]](wsug_graphics/Note.png) | 注意 |
|---|---|
时间参考可能仅仅在时间格式为"Seconds Since Beginning of Capture"模式下比较有用。其他时间显示形式下可能要么是不能工作,要么是没作用。 |
要使用时间参考,选择Edit菜单下“Time Reference”项中的一个。详见第 3.6 节 “"Edit"菜单”,或者从包列表的右键弹出项选择。
Set Time Refernce(toggle) 切换当前包时间参考状态开关
Find Next 在包列表面板查找下一个时间参考包
Find Previous 在包列表面板查找前一个时间参考包
作为时间参考的包,在time列会有*REF*字符串作为标记(见上图第10个包)。所有后续包都会用最后一个时间参考来显示时间。