使用 Tshark 通过日志进行调试

简介

在这个实验中，你将学习使用 Wireshark 的命令行工具 Tshark 的基本调试技术。你将探索如何使用 --log-level 设置调试级别，使用 -i 在 eth1 上捕获实时流量，并使用 --log-file 将日志保存到文件中进行分析。

通过实践练习，你将练习配置调试模式、监控网络流量和解读日志输出。这个实验将让你在可控的虚拟机 (VM) 环境中获得使用 Tshark 核心调试功能的实践经验。

Skills Graph

使用 --log-level debug 设置调试级别

在这一步中，你将学习如何在使用 Wireshark 的命令行工具 tshark 时调整日志消息的详细程度。--log-level 标志有助于控制 tshark 显示的信息量，这在你需要了解幕后发生的情况或排查问题时特别有用。

1. 首先，让我们准备好工作环境。在你的 LabEx 虚拟机中打开一个终端。为了保持条理，我们将在默认项目目录中进行操作：

   cd ~/project

2. 设置日志级别的基本命令结构很简单。你只需在标志后面指定所需的级别：

   tshark --log-level <level>

   以下是最常用的日志级别，按详细程度从低到高排序：

   • critical - 仅显示可能导致 tshark 无法正常工作的严重错误
   • warning - 显示虽不严重但值得注意的潜在问题
   • message - 默认级别，显示正常的操作消息
   • info - 提供有关 tshark 活动的额外信息消息
   • debug - 显示最详细的技术信息，用于深入排查问题

3. 在这个练习中，我们将使用 debug 级别来查看最大量的信息。这将帮助我们了解 tshark 的所有幕后操作。运行以下命令：

   tshark --log-level debug

4. 运行命令后，你会注意到输出比平时多得多。这个调试输出包括初始化细节、内部处理消息以及 tshark 如何处理网络流量的技术信息。

5. 当你准备停止 tshark 时，只需在终端中按下 Ctrl+C。这个键盘快捷键会发送一个中断信号来停止当前运行的命令。

使用 -i eth1 捕获流量

在这一步中，我们将探索如何使用 Wireshark 强大的命令行工具 tshark 捕获实时网络流量。网络接口是计算机连接到网络的物理或虚拟点，而 eth1 通常是 Linux 系统中的第一个以太网接口。

1. 首先，让我们确定你的 LabEx 虚拟机上有哪些可用的网络接口。这有助于确保我们监控的是正确的接口：

   tshark -D

   此命令会列出 tshark 可以访问的所有网络接口。在输出中查找 eth1，这通常是你的主要以太网连接。

2. 现在我们将开始捕获实际的网络流量。-i 标志告诉 tshark 要监控哪个接口：

   tshark -i eth1

3. 当数据包在你的网络中流动时，你将看到它们被实时显示出来。每行代表一个网络数据包，并显示：

   • 捕获的确切时间（时间戳）
   • 数据包的来源和去向（IP 地址）
   • 它包含的网络通信类型（协议）
   • 它携带的数据量（数据包长度）

4. 让捕获过程运行大约 10 秒钟，以收集具有代表性的流量样本。准备好后，按 Ctrl+C 停止捕获。这让你获得了实时数据包捕获的实践经验。

5. 有时你可能想捕获特定数量的数据包。-c 标志允许你设置这个限制：

   tshark -i eth1 -c 10

   此命令在精确捕获 10 个数据包后将自动停止，这对于快速测试很有用。

6. 你可以将此操作与调试结合起来，以获取有关捕获过程的更详细信息：

   tshark -i eth1 --log-level debug

   这不仅会显示数据包，还会显示 tshark 的内部操作，帮助你了解幕后发生的情况。

使用 --log-file tshark.log 将日志记录到文件

在这一步中，你将学习如何使用 --log-file 选项将 tshark 捕获的日志保存到文件中，以便后续分析。当你需要记录网络流量模式或排查连接问题时，这尤其有用，因为它允许你在方便的时候查看数据，而不是实时查看输出。

1. 首先，确保你位于默认工作目录中。这很重要，因为日志文件将在你当前的目录中创建：

   cd ~/project

2. 要开始捕获网络流量并同时将所有日志保存到名为 tshark.log 的文件中，请执行以下命令。-i eth1 指定我们从以太网接口进行捕获：

   tshark -i eth1 --log-file tshark.log

3. 让捕获过程运行大约 10 秒钟，以收集足够的数据，然后按 Ctrl+C 正常停止捕获过程。这个键盘中断操作可确保日志文件被正确关闭。

4. 通过列出目录内容来验证日志文件是否已成功创建。-l 标志会显示详细的文件信息，包括大小和时间戳：

   ls -l tshark.log

   你应该会看到列出的文件及其大小和创建时间，这证实捕获操作按预期工作。

5. 查看日志文件的内容，以检查捕获的数据包。cat 命令会在你的终端中显示整个文件的内容：

   cat tshark.log

   输出将以可读的格式显示捕获的数据包，包括时间戳、源/目的地址和协议信息。

6. 为了结合前面步骤给出一个更完整的示例，请尝试以下包含多个有用参数的增强命令：

   tshark -i eth1 --log-level debug --log-file tshark.log -c 20

   这个全面的命令将：

   • 专门从 eth1 网络接口捕获数据包
   • 将日志记录级别设置为调试，以获取最大详细程度
   • 将所有输出保存到 tshark.log 文件中
   • 在精确捕获 20 个数据包后自动停止

检查日志中的错误

在这一步中，你将分析上一步创建的 tshark 日志文件，以识别潜在的网络问题和错误。由于日志提供了网络活动和潜在问题的详细记录，因此这是网络故障排除的一项关键技能。

1. 首先，如果你还不在项目目录中，请导航到该目录。这可确保你处理的是正确的日志文件：

   cd ~/project

2. 查看完整的日志文件内容，以全面了解捕获的网络流量。cat 命令会在你的终端中显示整个文件的内容：

   cat tshark.log

3. 要在日志中专门搜索错误消息，请使用 grep 并进行不区分大小写的匹配（-i 标志）。这有助于找到所有错误条目，无论其大小写如何：

   grep -i "error" tshark.log

4. 为了进行更全面的分析，搜索多种类型的问题，包括警告和失败。-E 标志启用扩展正则表达式：

   grep -E -i "error|warning|fail" tshark.log

5. 要统计错误出现的次数，请将 grep 的输出通过管道传递给 wc 命令并使用 -l 选项进行行数统计。这能让你快速了解日志中记录了多少个错误：

   grep -i "error" tshark.log | wc -l

6. 为了更有条理地查看数据包级别的错误，使用 tshark 的显示过滤器（-Y）仅显示带有错误标志的帧。这有助于识别捕获中的有问题的数据包：

   tshark -r tshark.log -Y "frame.error_flag == 1"

7. 要保存仅包含错误消息的内容，以便进行进一步分析或报告，请将 grep 的输出重定向到一个新文件。这将创建一个仅包含错误信息的简洁日志：

   grep -i "error" tshark.log > errors.txt

总结

在本次实验中，你学习了使用 Wireshark 的命令行工具 tshark 进行网络流量分析的实用技巧。你探索了使用 --log-level debug 设置调试级别，以获取详细的操作信息，这对于排查复杂的网络问题至关重要。

此外，你通过识别可用接口并分析实时数据包数据，练习了在 eth1 接口上捕获实时流量。这些基本技能使你能够在命令行环境中高效地进行网络监控和问题诊断。