你可以通过File->Save As...菜单保存捕捉文件。在保存时可以选择保存哪些包,以什么格式保存。
![[]](wsug_graphics/Warning.png) | 保存可能会丢失某些有用的信息 |
|---|---|
保存可能会少量都是某些信息。例如:已经被丢弃的包会丢失。详见??? |
"Save Capture File As"对话框用于保存当前捕捉数据到文件。???列举了该对话框的一些例子。
![[]](wsug_graphics/Note.png) | 对话框的显示方式取决于你的操作系统 |
|---|---|
对话框的显示方式取决于你的操作系统和GTK+工具集版本的不同。但大部分基本功能都是一样的。 |
表 5.2. 特定环境下的"Save Capture File As"对话框
| Microsoft Windows(GTK2
installed) 此对话框一般都带有一些wireshark扩展 此对话框的说明:
| |
| Unix/Linux:GTK version >=
2.4 这是在Gimp/GNOME桌面环境下的保存文件对话框 对此对话框的说明。
| |
| Unix/Linux: GTK version < 2.4 / Microsoft
Windows (GTK1 installed) gimp/gnome桌面环境,或windows gtk1下的的。 |
通过这些对话框,你可以执行如下操作:
输入你指定的文件名。
选择保存的目录
选择保存包的范围,见第 5.8 节 “包范围选项”
通过点击"File type/文件类型"下拉列表指定保存文件的格式。见???
可供选中的文件格式可能会没有那么多 有些类型的捕捉格式可能不可用,这取决于捕捉包的类型。
![[]](wsug_graphics/Tip.png)
可以直接保存为另一种格式。 你可以以一种格式读取捕捉文件,保存时使用另外一种格式(这句可能翻译有误。)
点击"Save/OK"按钮保存。如果保存时遇到问题,会出现错误提示。确认那个错误提示以后,你可以重试。
点击"Cancel"按钮退出而不保存捕捉包。
可以将Wireshark不着的包保存为其原生格式文件(libpcap),也可以保存为其他格式供其他工具进行读取分析。
| 各文件类型之间的时间戳精度不尽相同 |
|---|---|
将当前文件保存为其他格式可能会降低时间戳的精度,见第 7.3 节 “时间戳” |
Wireshark可以保存为如下格式。
libpcap, tcpdump and various other tools using tcpdump's capture format (*.pcap,*.cap,*.dmp)
Accellent 5Views (*.5vw)
HP-UX's nettl (*.TRC0,*.TRC1)
Microsoft Network Monitor - NetMon (*.cap)
Network Associates Sniffer - DOS (*.cap,*.enc,*.trc,*fdc,*.syc)
Network Associates Sniffer - Windows (*.cap)
Network Instruments Observer version 9 (*.bfr)
Novell LANalyzer (*.tr1)
Sun snoop (*.snoop,*.cap)
Visual Networks Visual UpTime traffic (*.*)