虹科分享 | 网络流量监控 | 构建大型捕获文件（Ⅱ）——Pcap分析仪：Allegro网络万用表的Pcap过滤器

上一期我们讨论的是如何使用Wireshark工具进行结构化搜索的技术，这一期我们将为大家进行介绍，我们该如何使用 Allegro 网络万用表来加快 pcap 分析器的工作。

前期回顾：构建大型捕获文件（Ⅰ）——Wireshark过滤器和其他Allegro网络万用表工具

用Allegro网络万用表对流量进行预选

既然已经介绍了一些关于如何创建大型 pcap 文件以更好地掌握它们的重要技术，这第二部分将介绍 Allegro 网络万用表如何处理这一任务。

Allegro 网络万用表并不能完全取代 Wireshark。然而，它被设计为预先过滤 pcap 文件，以便用 Wireshark 进行更深入的数据包分析。

Allegro网络万用表测量流量并实时显示所有元数据；这适用于实时数据和历史网络流量。该工具的特殊之处在于其处理数据的速度。这对需要进行pcap分析的用户有利。

基本上，Allegro 网络万用表提供两种不同的功能。一方面，它可以在创建 pcap 时对流量进行单独和清晰的过滤；另一方面，现有的 pcap 文件可以上传到设备上，以便预先选择用 Wireshark 进行分析。

从 Allegro 网络万用表的数据中选择性地捕获 pcap

首先，这里讨论的是作为预过滤器的功能。通过 Allegro 网络万用表，由于广泛的过滤功能和数据关联，人们可以轻松快速地导航到流量的位置。在那里，可以直接从怀疑有错误的选定网络流量中保存一个 pcap。然后，这个大大缩小的 pcap 文件可用于 Wireshark 的快速分析。

从 Allegro 网络万用表仪表板导航到可疑故障

这种捕获功能被集成到Allegro网络万用表的所有分析模块中。从仪表板开始，你可以得到当前网络流量最重要的参数的第一份概览，你可以通过时间线和图表浏览不同的层次，更接近问题。在用户界面的大多数部分，都有一个pcap下载按钮，通过这个按钮，你可以很容易地捕获显示的、选定的网络流量作为浏览器下载，无论你想从MAC统计中下载一个pcap，还是从HTTP协议中下载一个pcap，例如：

如果你想解决一个问题，例如，为什么上周三的VoIP电话如此不稳定，只要导航到SIP模块，设置所需的时间范围，并按抖动对这个时间范围内的电话进行排序，或直接按电话号码过滤。有问题的电话现在可以通过pcap下载，以便用Wireshark进行进一步的数据包分析。

不仅可以随意预选流量，而且由于Allegro网络万用表的存在，故障排除的时间可以大大缩短，创建一个pcap的时间也缩短到了一小部分。

此外，除了基本的管理员知识外，操作该设备不需要进一步的专业知识。大多数过滤器都是预定义的，只需要进行选择。此外，操作者可以在命令行中相互组合。

将现有的 pcap 文件上传到 Allegro 工具进行过滤

Allegro网络万用表为加快使用Wireshark提供的第二个功能是上传pcaps。

如果在捕获前没有可能预先选择网络流量，例如从第三方收到要分析的pcap，那么文件可以通过USB或在浏览器中拖放的方式追溯上传到Allegro网络万用表，并可以使用该设备查看数据。

Allegro网络万用表具有非常高的导入速度，所以文件可以很快被打开。这里的特别之处在于，你可以访问已经导入的数据。这使分析的速度提高了许多倍。最重要的是，通常需要桥接的等待时间被消除了。因此，你可以留在主题上，不会有在等待时间内分心的风险。

在 Allegro Network Multimeter 中，缩小的 pcap 可以如上所述重新导出，并在 Wireshark 中进一步分析。

结论 等到打开一个pcap文件，然后确定重要的Wireshark数据已经成为过去。

第一部分文章解释了Wireshark为减少显示的数据而加入的几个过滤器功能。一些更深入的过滤器可能需要更深入的知识。

第二部分涉及Allegro Packets公司开发的Allegro网络万用表，它提供了广泛的过滤功能，只需点击几下就可以控制它们。

过滤器可以很容易地应用，无需额外的语法知识，使其易于使用。此外，Allegro 网络万用表加速了故障排除，因为可以快速确定错误。从问题区域记录的 pcap 可以减少进一步的数据包分析时间，因为 Allegro 网络万用表可以非常快速地处理和读取 pcap 文件。在读取过程中可以对数据进行分析。通常情况下，不需要使用 Wireshark 进行详细的数据包分析，因为问题可能已经被 Allegro网络万用表检测到，并确定了解决方案。