LabEx
EntrarJunte-se

Debug com Logs no Tshark

WiresharkBeginner
Pratique Agora

Introdução

Neste laboratório, você aprenderá técnicas essenciais de depuração usando a ferramenta de linha de comando Tshark do Wireshark. Você explorará como definir níveis de depuração com --log-level, capturar tráfego ao vivo em eth1 usando -i e salvar logs em arquivos com --log-file para análise.

Através de exercícios práticos, você praticará a configuração de modos de depuração, o monitoramento do tráfego de rede e a interpretação das saídas de log. Este laboratório oferece experiência prática com os principais recursos de depuração do Tshark em um ambiente de VM controlado.

Definir Nível de Debug com --log-level debug

Nesta etapa, você aprenderá como ajustar o nível de detalhe das mensagens de log ao usar a ferramenta de linha de comando tshark do Wireshark. A flag --log-level ajuda a controlar quanta informação o tshark exibe, o que é especialmente útil quando você precisa entender o que está acontecendo nos bastidores ou solucionar problemas.

  1. Primeiro, vamos preparar nosso ambiente de trabalho. Abra um terminal em sua VM LabEx. Trabalharemos no diretório de projeto padrão para manter as coisas organizadas:

    cd ~/project

  2. A estrutura básica do comando para definir níveis de log é simples. Você simplesmente especifica o nível desejado após a flag:

    tshark --log-level <level>

    Aqui estão os níveis de log mais comumente usados, ordenados do menos detalhado para o mais detalhado:

    • critical - Exibe apenas erros graves que podem impedir o funcionamento do tshark
    • warning - Mostra possíveis problemas que não são críticos, mas que vale a pena notar
    • message - O nível padrão que mostra mensagens operacionais normais
    • info - Fornece mensagens informativas adicionais sobre as atividades do tshark
    • debug - Mostra a informação técnica mais detalhada para uma solução de problemas profunda

  3. Para este exercício, usaremos o nível debug para ver a quantidade máxima de informações. Isso nos ajudará a entender todas as operações nos bastidores do tshark. Execute este comando:

    tshark --log-level debug

  4. Após executar o comando, você notará muito mais saída do que o normal. Esta saída de depuração inclui detalhes de inicialização, mensagens de processamento interno e informações técnicas sobre como o tshark está lidando com o tráfego de rede.

  5. Quando estiver pronto para parar o tshark, simplesmente pressione Ctrl+C no terminal. Este atalho de teclado envia um sinal de interrupção para parar o comando em execução.

Capturar Tráfego com -i eth1

Nesta etapa, exploraremos como capturar tráfego de rede ao vivo usando a poderosa ferramenta de linha de comando tshark do Wireshark. Interfaces de rede são os pontos físicos ou virtuais onde seu computador se conecta a uma rede, e eth1 é tipicamente a primeira interface Ethernet em sistemas Linux.

  1. Primeiro, vamos identificar quais interfaces de rede estão disponíveis em sua VM LabEx. Isso ajuda a garantir que estamos monitorando a correta:

    tshark -D

    Este comando lista todas as interfaces de rede que o tshark pode acessar. Procure por eth1 na saída - esta é geralmente sua conexão Ethernet primária.

  2. Agora, começaremos a capturar o tráfego de rede real. A flag -i informa ao tshark qual interface monitorar:

    tshark -i eth1

  3. À medida que os pacotes fluem pela sua rede, você os verá exibidos em tempo real. Cada linha representa um pacote de rede e mostra:

    • O horário exato em que foi capturado (timestamp)
    • De onde veio e para onde está indo (endereços IP)
    • Que tipo de comunicação de rede ele contém (protocolo)
    • Quanta dados ele carrega (tamanho do pacote)

  4. Deixe a captura rodar por cerca de 10 segundos para coletar uma amostra representativa do tráfego. Quando estiver pronto, pressione Ctrl+C para parar a captura. Isso lhe dá experiência prática com a captura de pacotes ao vivo.

  5. Às vezes, você pode querer capturar um número específico de pacotes. A flag -c permite que você defina esse limite:

    tshark -i eth1 -c 10

    Este comando parará automaticamente após capturar exatamente 10 pacotes, o que é útil para testes rápidos.

  6. Você pode combinar isso com a depuração para obter informações mais detalhadas sobre o processo de captura:

    tshark -i eth1 --log-level debug

    Isso mostra não apenas os pacotes, mas também as operações internas do tshark, ajudando você a entender o que está acontecendo nos bastidores.

Registrar em Ficheiro com --log-file tshark.log

Nesta etapa, você aprenderá como salvar os logs de captura do tshark em um arquivo para análise posterior usando a opção --log-file. Isso é particularmente útil quando você precisa documentar padrões de tráfego de rede ou solucionar problemas de conectividade, pois permite que você revise os dados quando for conveniente, em vez de assistir à saída em tempo real.

  1. Primeiro, certifique-se de estar no diretório de trabalho padrão. Isso é importante porque o arquivo de log será criado em seu diretório atual:

    cd ~/project

  2. Para começar a capturar o tráfego de rede e, simultaneamente, salvar todos os logs em um arquivo chamado tshark.log, execute este comando. O -i eth1 especifica que estamos capturando da interface Ethernet:

    tshark -i eth1 --log-file tshark.log

  3. Deixe a captura rodar por cerca de 10 segundos para reunir dados suficientes e, em seguida, pressione Ctrl+C para interromper graciosamente o processo de captura. Essa interrupção do teclado garante que o arquivo de log seja fechado corretamente.

  4. Verifique se o arquivo de log foi criado com sucesso listando o conteúdo do diretório. A flag -l mostra informações detalhadas do arquivo, incluindo tamanho e timestamp:

    ls -l tshark.log

    Você deve ver o arquivo listado com seu tamanho e hora de criação, confirmando que a captura funcionou como esperado.

  5. Visualize o conteúdo do arquivo de log para examinar os pacotes capturados. O comando cat exibe todo o conteúdo do arquivo em seu terminal:

    cat tshark.log

    A saída mostrará os pacotes capturados em um formato legível, incluindo timestamps, endereços de origem/destino e informações do protocolo.

  6. Para um exemplo mais completo combinando as etapas anteriores, tente este comando aprimorado que inclui vários parâmetros úteis:

    tshark -i eth1 --log-level debug --log-file tshark.log -c 20

    Este comando abrangente irá:

    • Capturar pacotes especificamente da interface de rede eth1
    • Definir o nível de log para debug para o máximo de detalhes
    • Salvar toda a saída no arquivo tshark.log
    • Parar automaticamente após capturar exatamente 20 pacotes

Rever Logs para Erros

Nesta etapa, você analisará o arquivo de log do tshark criado na etapa anterior para identificar possíveis problemas e erros de rede. Esta é uma habilidade crucial para a solução de problemas de rede, pois os logs fornecem registros detalhados da atividade da rede e de possíveis problemas.

  1. Primeiro, navegue até o seu diretório do projeto, caso ainda não esteja lá. Isso garante que você esteja trabalhando com o arquivo de log correto:

    cd ~/project

  2. Visualize o conteúdo completo do arquivo de log para obter uma visão geral do tráfego de rede capturado. O comando cat exibe todo o conteúdo do arquivo em seu terminal:

    cat tshark.log

  3. Para pesquisar especificamente por mensagens de erro no log, use o grep com correspondência sem distinção entre maiúsculas e minúsculas (flag -i). Isso ajuda a encontrar todas as entradas de erro, independentemente da capitalização:

    grep -i "error" tshark.log

  4. Para uma análise mais abrangente, pesquise por vários tipos de problemas, incluindo avisos e falhas. A flag -E habilita expressões regulares estendidas:

    grep -E -i "error|warning|fail" tshark.log

  5. Para quantificar o número de ocorrências de erro, redirecione a saída do grep para a contagem de palavras (wc) com contagem de linhas (-l). Isso fornece uma ideia rápida de quantos erros foram registrados:

    grep -i "error" tshark.log | wc -l

  6. Para uma visualização mais estruturada dos erros no nível do pacote, use o filtro de exibição do tshark (-Y) para mostrar apenas os frames com flags de erro. Isso ajuda a identificar pacotes problemáticos em sua captura:

    tshark -r tshark.log -Y "frame.error_flag == 1"

  7. Para salvar apenas as mensagens de erro para análise ou relatório posterior, redirecione a saída do grep para um novo arquivo. Isso cria um log limpo, contendo apenas erros:

    grep -i "error" tshark.log > errors.txt

Resumo

Neste laboratório, você aprendeu técnicas práticas para análise de tráfego de rede usando a ferramenta de linha de comando tshark do Wireshark. Você explorou a configuração de níveis de debug com --log-level debug para obter mensagens operacionais detalhadas, o que é crucial para solucionar problemas complexos de rede.

Além disso, você praticou a captura de tráfego ao vivo na interface eth1 identificando interfaces disponíveis e analisando dados de pacotes em tempo real. Essas habilidades fundamentais permitem o monitoramento eficiente da rede e o diagnóstico de problemas em ambientes de linha de comando.

Relacionados Wireshark Cursos
Wireshark para Iniciantes

Wireshark para Iniciantes

cybersecuritywireshark
Análise de Cibersegurança com Wireshark e Tshark

Análise de Cibersegurança com Wireshark e Tshark

cybersecuritywireshark