Tshark の出力をツールにパイプ処理する

はじめに

この実験では、Tshark の出力を他のユーティリティにパイプすることで、コマンドラインツールを使用してネットワークトラフィックをキャプチャし、分析する方法を学びます。tcpdump を使用して eth1 インターフェイスでパケットをキャプチャし、grep を使用してエラーメッセージをフィルタリングし、wc -l を使用して一致する項目をカウントする練習を行います。

この実験では、ネットワークのトラブルシューティングに関する実践的な手法に焦点を当てています。これには、後で分析するためにキャプチャを pcap 形式で保存することも含まれます。インターフェイスを検証し、フィルタを適用し、Unix パイプとファイル操作を通じてパケット分析のワークフローを効率化する方法を学びます。

Skills Graph

-i eth1 を使用してトラフィックをキャプチャする

このステップでは、基本的な Linux コマンドを使用して eth1 インターフェイスでネットワークトラフィックをキャプチャする方法を学びます。eth1 インターフェイスは、通常、Linux システムの主要なネットワークインターフェイスであり、マシンの最初の Ethernet 接続を表します。

トラフィックをキャプチャする前に、インターフェイスが存在し、アクティブであることを確認することが重要です。ネットワークインターフェイスは、物理的なもの（Ethernet ポートなど）でも、仮想的なもの（VPN 接続など）でもかまいません。次のコマンドを実行して、eth1 インターフェイスの状態を確認します。

ip link show eth1

以下のような出力が表示されるはずです。

2: eth1: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc fq_codel state UP mode DEFAULT group default qlen 1000
    link/ether 00:16:3e:5e:6c:00 brd ff:ff:ff:ff:ff:ff

UP の状態は、インターフェイスがアクティブであることを示しています。次に、tcpdump を使用します。これは、ネットワーク分析の基本的なツールで、リアルタイムでトラフィックを確認することができます。この基本的なキャプチャコマンドを使用すると、ネットワークで何が起こっているかを理解するのに役立ちます。

sudo tcpdump -i eth1 -c 5

このコマンドの動作を分解して説明します。

• -i eth1: 監視するネットワークインターフェイスを指定します（この場合は eth1）
• -c 5: キャプチャするパケットを 5 個に制限します。これは、ターミナルを溢れさせることなくデモンストレーションに十分な量です。

出力には、タイムスタンプ、送信元/宛先の IP アドレス、プロトコル情報などのパケットの詳細が表示されます。

tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth1, link-type EN10MB (Ethernet), capture size 262144 bytes
12:34:56.789012 IP 192.168.1.100.22 > 192.168.1.1.12345: Flags [P.], seq 1:21, ack 1, win 501, length 20
12:34:56.789123 IP 192.168.1.1.12345 > 192.168.1.100.22: Flags [.], ack 21, win 1024, length 0
...
5 packets captured
5 packets received by filter
0 packets dropped by kernel

より詳細な分析を行うには、パケットをファイルに保存する必要があります。PCAP ファイルは、すべてのパケットデータを保持し、Wireshark などのグラフィカルツールで開くことができます。次のコマンドでキャプチャファイルを作成します。

sudo tcpdump -i eth1 -c 5 -w ~/project/eth1_capture.pcap

-w フラグは、パケットをプロジェクトディレクトリ内の eth1_capture.pcap に書き込みます。このバイナリ形式は、キャプチャされたとおりにすべての元のパケット情報を保持します。

| grep "ERROR" でエラーをフィルタリングする

このステップでは、grep コマンドを使用してネットワークトラフィックからエラーメッセージをフィルタリングする方法を学びます。これは、大量のパケットキャプチャを分析する際に、エラーを含むパケットのみを表示したい場合に特に有用です。Linux のパイプ (|) 演算子を使用すると、あるコマンドの出力を別のコマンドの入力として使用することができ、強力な分析ワークフローを作成することができます。

まず、前のステップで作成したキャプチャファイルを調べてみましょう。次のコマンドを実行して、pcap ファイルの内容をテキスト形式で表示します。これにより、バイナリのパケットデータが人間が読める形式に変換されます。

tcpdump -r ~/project/eth1_capture.pcap

次に、デモンストレーションのために、通常のメッセージとエラーメッセージの両方を含むサンプルログファイルを作成しましょう。これにより、実際のネットワークトラフィックに適用する前に、grep の動作を理解することができます。

echo -e "INFO: Connection established\nERROR: Authentication failed\nINFO: Data transfer complete\nERROR: Connection timeout" > ~/project/network.log

このログファイルからエラーメッセージのみをフィルタリングするには、grep を "ERROR" パターンで使用します。grep はテキストを一行ずつ検索し、パターンに一致する行のみを出力します。

grep "ERROR" ~/project/network.log

エラー行のみが含まれる出力が表示されるはずです。

ERROR: Authentication failed
ERROR: Connection timeout

次に、これを実際のパケットキャプチャに適用しましょう。まず、grep はテキストファイルで動作するため、pcap を読みやすいテキスト形式に変換する必要があります。これにより、パケットキャプチャのテキストバージョンが作成されます。

tcpdump -r ~/project/eth1_capture.pcap > ~/project/packets.txt

次に、変換されたパケットデータ内のエラーメッセージをフィルタリングします。-i フラグを使用して、検索を大文字小文字を区別しないようにします。これは、"error"、"ERROR"、またはその他の大文字小文字の組み合わせに一致することを意味します。

grep -i "error" ~/project/packets.txt

-i フラグにより、検索は大文字小文字を区別しません。パケットに "error"（大文字小文字を問わない）が含まれている場合、それらが表示されます。これにより、ネットワークプロトコルでの大文字小文字の違いによってエラーメッセージを見逃すことがなくなります。

| wc -l で一致する行数をカウントする

このステップでは、wc -l コマンドを使用して一致する行数をカウントすることで、ネットワークエラーを定量的に把握する方法を学びます。この手法は、ネットワーク管理者がキャプチャしたトラフィック内のエラー発生頻度を理解するのに役立ちます。

カウントする前に、先ほど特定したエラーメッセージを見直してみましょう。次のコマンドは、パケットキャプチャファイルから "error" を含むすべての行（大文字小文字を区別しない）を表示します。

grep -i "error" ~/project/packets.txt

これらのエラーの発生件数を表示する代わりにカウントするには、パイプ (|) を使用して grep の出力を wc -l に送ります。wc コマンドは、単語、行、または文字をカウントし、-l オプションは具体的に行をカウントします。

grep -i "error" ~/project/packets.txt | wc -l

このコマンドは、見つかったエラーメッセージの数を表す単純な数字を出力します。

2

参考までに、キャプチャファイル内のパケットの総数もカウントしてみましょう。これにより、トラフィックのどの程度がエラーを含んでいるかを理解することができます。

wc -l ~/project/packets.txt

出力にはカウント数とファイル名が表示されます。

50 packets.txt

エラー率をパーセンテージで計算するには、基本的なシェル演算を使用します。まず、エラーカウントとパケット総数を変数に格納し、次に bc（基本的な計算機プログラム）を使用して計算を行います。

errors=$(grep -i "error" ~/project/packets.txt | wc -l)
total=$(wc -l < ~/project/packets.txt)
echo "scale=2; ($errors/$total)*100" | bc

scale=2 の設定は、bc に結果を小数点以下 2 桁で表示するよう指示します。

4.00

> output.txt を使ってファイルに保存する

このステップでは、ネットワーク分析結果をドキュメント化やさらなる調査のためにファイルに保存する方法を学びます。Tshark の出力を扱う際には、フィルタリングされたデータをターミナルで表示するだけでなく、別途保存しておくことが便利なことがよくあります。

まず、先ほどパケットキャプチャ内のエラー発生件数をカウントするために使用したコマンドを思い出してみましょう。

grep -i "error" ~/project/packets.txt | wc -l

Linux の > 演算子を使用すると、コマンドの出力を画面に表示する代わりにファイルにリダイレクトすることができます。エラーの数値カウントのみを error_count.txt という新しいファイルに保存するには、コマンドを次のように変更します。

grep -i "error" ~/project/packets.txt | wc -l > ~/project/error_count.txt

このコマンドを実行した後、ファイルに期待通りの内容、つまりエラーカウントの数字のみが含まれていることを確認できます。

cat ~/project/error_count.txt

時には、カウントだけでなく、分析のために実際のエラーメッセージが必要になることがあります。一致するすべてのエラー行をファイルに保存するには、単語数カウントの部分を削除します。

grep -i "error" ~/project/packets.txt > ~/project/error_messages.txt

すべてのエラーメッセージがキャプチャされていることを確認するために、内容を確認します。

cat ~/project/error_messages.txt

継続的な監視のために、既存のファイルを上書きするのではなく、追加することが必要な場合があります。>> 演算子はファイルに追記します。以下は、タイムスタンプ付きのエラーレポートを作成する方法です。

echo "Error count at $(date):" >> ~/project/error_report.txt
grep -i "error" ~/project/packets.txt | wc -l >> ~/project/error_report.txt

蓄積されたデータを確認するために、レポートファイルを表示します。

cat ~/project/error_report.txt

まとめ

この実験では、コマンドラインツールを使用したネットワークトラフィックのキャプチャと分析の実践的な手法を学びました。演習では、tcpdump を使用したパケットキャプチャ、ip link show を使用したインターフェースの検証、およびオフライン分析用の PCAP ファイルの作成をカバーしています。

また、grep を使用したエラーフィルタリング、wc -l を使用した一致件数のカウント、およびテキストファイルへの出力リダイレクトなど、パイプ操作を通じた効率的なデータ処理方法を探索しました。これらのスキルにより、ネットワーク情報をターゲットに抽出し、効果的なトラブルシューティングが可能になります。