Artiza Networks, Inc.

お問い合わせ

TOP

技術Tips

Wireshark使いこなしTips

第5回:PCAPファイルの情報をCSVで出力する

PCAPファイルの情報をCSVで出力する

ネットワークの解析およびトラブルシューティングの現場においては、パケットキャプチャ製品で収集したPCAPファイルの情報を、エクセルなどの外部のソフトウェアを用いてレポート用に加工したい、といったケースがあります。

今回のWireshark使いこなしTips では、Wireshark本体およびWiresharkに同梱されているコマンドラインツールのひとつの”tshark.exe”を用いてのCSV出力の方法についてご紹介します。今回使用するサンプルのキャプチャファイルは、Wiresharkのサイトからダウンロード可能なサンプルのキャプチャファイル(https://wiki.wireshark.org/SampleCaptures?action=AttachFile&do=get&target=SIP_CALL_RTP_G711)にあるSIP_CALL_RTP_G711.pcapを用います。

PCAPファイルをCSVで出力する2通りの方法

WiresharkでPCAPファイルをCSVで出力するには、以下の2通りの方法があります。

  • WiresharkのGUIからCSVで出力する
  • Wiresharkに同梱されているコマンドラインツールのtshark.exeを用いてCSVで出力する
    (tshark.exeは、Wiresharkを起動することなく実行することができます。)
  • それではこれら2つの方法についてご紹介します。

1. WiresharkのGUIからPCAPファイルの内容をCSVで出力する

SIP_CALL_RTP_G711.pcapファイルをWiresharkで見ると、様々なプロトコルを含む計4,269のパケットが存在します。ここでは表示フィルタ機能を用いて、SIPを含むパケットのみに注目し、その内容をCSVで出力することとします。表示フィルタ機能適用後は、Figure1のように計14個のパケットに絞り込むことが出来ます(Wiresharkにおける表示フィルタ機能の使い方につきましては、Wireshark使いこなしTips第3回:表示フィルタを使いこなす をご参照下さい)。

Figure 1

これらの14個のパケットの一覧画面の情報をCSVで出力するには、Wireshark上で、「ファイル」→「エキスパートパケット解析」→「CSVとして」を選択します。選択後にはFigure2のような画面が表示されます。

Figure 2

Figure2 画面左下の「Packet Range」では、下記の設定が可能です。

  • All packets: 表示フィルタで絞り込まれたパケットすべてを出力する(ここでは14個のパケットが対象となります)
  • Selected packet: カーソルで表示されているパケットのみを出力する(1パケットのみを出力)
  • Marked packets: マーク付けがされているパケットのみを出力する(パケット一覧画面上でマウスの右クリックで設定可)
  • First to last marked: 最初にマーク付けされたパケットから、最後にマーク付けされたパケットの間のパケットを出力する(レンジ指定)
  • Range: パケットの番号を指定し、出力したいパケットを指定する(例:3, 5-7(レンジ指定))
  • Remove Ignored packets: PCAPファイル出力時に、「パケットを無視」(パケット一覧画面上でマウスの右クリックで設定可)の指定をしたパケットを含めない。

ここでは、表示フィルタで絞り込まれた全14個のパケットのすべてをCSVで出力することとし、Figure2の通り、「All packets」を選択します。

注)画面右下の「Packet Format」につきましては、現行のWiresharkのリリース(最新版は2.4.5(2018年3月時点))では、「Packet summary line」(パケット一覧の画面の情報)のみCSV出力が可能のようです。

「ファイル名」の欄で、ここでは例として「SIP_RTP_G711_sip_only」というファイル名を付与し、「保存」ボタンを押すと、画面上部の「保存する場所」で指定したフォルダ内にCSVでデータが出力・保存されます。

このファイルをエクセルで開いてみます。エクセルでファイルを開く際に、CSV形式のファイルを開く際の設定を行なった後は、Figure1と同じ内容の情報をエクセル上で表示することができました(Figure3)。

Figure 3

2. Wiresharkに同梱されているコマンドラインツールのtshark.exeを用いてCSVで出力する

次に、上記と同じSIP_CALL_RTP_G711.pcapファイルに対し、tshark.exeでCSV出力を行なってみます。

2-1 tshark.exeのありか

Wiresharkをインストールすると、Wiresharkがインストールされているディレクトリと同じディレクトリ内にいくつかの*.exeファイルが存在しており、そのうちのひとつにtshark.exeがあります(Figure4)。

Figure 4

2-2 tshark.exeの各種コマンドオプション機能

tshark.exeには下記の表のような各種のコマンドオプションが用意されており、これらを用いながらコマンドを実行します。
(注)tshark.exeのコマンドオプションの一覧および詳しい使用方法につきましては、Wireshark上からアクセス可能なtsharkのマニュアル(英語版)をご参照下さい(Wireshark上で「ヘルプ」 → 「マニュアルページ」 → 「tshark」)

コマンド
オプション
説明 コマンドオプションの使用例
-r CVSに変換するPCAPファイルが存在するフォルダおよびファイルを指定します。 -r C:\demo\SIP_CALL_RTP_G711.pcap
-Y 表示フィルタの適用の有無を指定します。 -Y "sip" (sipで表示フィルタを指定)
-T 出力時のフォーマットを定義します。fieldを指定し、かつ下記の-Eおよび-eオプションと共に使用します。 -T fields
-E separatorオプションと共に使用し、CSV出力時のセパレータに用いる文字を指定します。 -E separator="," (セパレータの文字に”,”を指定)
-e -Tオプションでfieldが指定された場合には、_ws.col.オプションと共に使用し、表示させたいfieldのカラムを指定します。 -e_ws.col.No. (パケット番号の表示)
-e_ws.col.Time (時間の表示)
-e_ws.col.Source (ソース・アドレスの表示)
-e_ws.col.Destination (ディスティネーション・アドレスの表示)
コマンド
オプション
説明 コマンドオプションの使用例
-r CVSに変換するPCAPファイルが存在するフォルダおよびファイルを指定します。 -r C:\demo\SIP_CALL_RTP_G711.pcap
-Y 表示フィルタの適用の有無を指定します。 -Y "sip" (sipで表示フィルタを指定)
-T 出力時のフォーマットを定義します。fieldを指定し、かつ下記の-Eおよび-eオプションと共に使用します。 -T fields
-E separatorオプションと共に使用し、CSV出力時のセパレータに用いる文字を指定します。 -E separator="," (セパレータの文字に”,”を指定)
-e -Tオプションでfieldが指定された場合には、_ws.col.オプションと共に使用し、表示させたいfieldのカラムを指定します。 -e_ws.col.No. (パケット番号の表示)
-e_ws.col.Time (時間の表示)
-e_ws.col.Source (ソース・アドレスの表示)
-e_ws.col.Destination (ディスティネーション・アドレスの表示)

2-3 tshark.exeの各種コマンドオプション機能

上記のコマンドオプションを使用し、CSVの出力先フォルダはC:\demo、出力時のファイル名はSIP_CALL_RTP_G711_sip_only.csvとし、下記およびFigure5の通りコマンドを実行します。

C:\Program Files\Wireshark\tshark -r C:\demo\SIP_CALL_RTP_G711.pcap -Y "sip" -T fields -E separator="," -e_ws.col.No. -e_ws.col.Time -e_ws.col.Source -e_ws.col.Destination -e_ws.col. -e_ws.col.Protocol -e_ws.col.Length -e_ws.col.source > C:\demo\SIP_CALL_RTP_G711_sip_only.csv

Figure 5

コマンド実行後にC:\demo\SIP_CALL_RTP_G711_sip_only.csvをエクセルで開いてみると、Figure3と同じ内容の情報をエクセル上で表示することができました(Figure6)。

Figure 6

最後に

tshark.exeはWiresharkのコマンドライン版として、実に多彩なコマンドオプションが揃えられています。これらを駆使することにより、コマンドライン上でPCAPファイルの編集・加工が可能です。
今回ご紹介した2つのCSVファイルへの出力方法を使用することにより、エクセル上で様々な統計処理を行なったり、レポートのためのデータの加工作業を柔軟に行っていただくことが可能となります。

アルチザネットワークスの自社開発製品であるetherExtractorは、10GbE/1GbE Full-Duplex(双方向)上で転送されるワイヤーレートの最短パケット(64バイト)の連続キャプチャを保証し、ネットワーク上で生じるさまざまな事象の全てをパケットロスすることなくキャプチャを実行するパワフルなキャプチャ専用機です。

アルチザネットワークスでは、etherExtractorで取得した貴重なPCAPファイルを、Wireshark上で快適に、そして便利に解析いただくためのさまざまなヒントや利用方法を、今後も「Wireshark使いこなしTips」のコーナーで多角的にご紹介してまいります。

5G ネットワークテスト / DuoSIM-5G

5G ネットワークテスト / AMARI UE Simbox

フロントホール モニター / FH MONITOR

ネットワーク検証、品質保証テスト / Emblasoft Evolver

トラフィック生成ソリューション / Apposite Netropy Traffic Generation

WANエミュレータ / Apposite Linktropy / Netropy

Wi-Fi 7 対応テストソリューション / Alethea WiCheck

5G NR、LTE、NB-IoT端末テスト / AMARI Callbox

パケットキャプチャ / eE-NEO

パケットキャプチャ / Quantea QP

ネットワーク可視化ソフトウェア / Quantea PureInsight

イーサネットスイッチ / NVIDIA MELLANOX

ハイエンド FPGA ボード / Griffin

時刻同期 / Protempis Thunderbolt® PTP

時刻同期・スイッチの統合ソリューション / Fibrolan Falcon