Verschillende manieren om een Display filter te maken

Er zijn drie manieren om display filters aan te maken:

  • De default filters aanpassen
  • Expressions
  • Rechter muisknop

De default filters aanpasse:

Als je in de menubalk bovenaan op “Analyze” klikt en in dat men kiest voor “Display filters” kom je in het Display filter menu.
Hier kun je filters kopiëren, aanpassen en toevoegen.

Wat er in deze lijst staat, kun je terugvinden in het bookmark menu aan de linkerkant van de Display filter toolbar.

Expressions:

Hiermee kun je op een makkelijkere manier heel ingewikkelde filters samenstellen.

Bijvoorbeeld: IP Geoip.dst_lat present

Klik op de “Expressions” knop bovenaan naast de Display filters toolbar om het Expressions venster te openen:

De linker kolom (Field name) is een lijst van alle protocols die ondersteund worden door wireshark. Elk protocol kun je dan nog eens openklikken om op elk mogelijk detail te kunnen filteren. In de “relation” kolom kun je dan kiezen voor elke relation er tussen de parameters die je wenst te zoeken moet zijn. Je kan een of meerdere Values meegeven en/of een range. Dit is een menu om vooral veel mee te experimenteren, dan krijg je er snel de juiste feeling in.

Je kan hier zelfs meerdere expressions achter mekaar samenvoegen met een logic ertussen om zo nog specifieker te kunnen filteren.
Bijvoorbeeld:

Rechtermuisknop:

Als je in de packet lijst een protocol veld, header veld, … aanduidt, kun je deze met het context menu (rechtermuisknop) toepassen als een filter. Dit is heel snel en handig als je iets heel specifiek aan het zoeken bent.
Klik rechts, kies in het menu “Apply as filter” en dan kun je kiezen uit enkele opties, afhankelijk van wat je wil of nodig hebt: