1.5GB程度の大きなHTTPセッションの解析をする必要があり、WireSharkでキャプチャしようとしたが、途中で固まってしまう。仕方ないので、ゲートウェイ側でtcpdumpを行ったが、ドロップが発生してしまった。

そこで、元のPCに戻り、WireSharkのコマンドライン版であるtsharkで試してみたところ、うまくいった。

tshark -i 3 -f "host XX.XX.XX.XX"  -w capture.pcap

• iの後の数字はインタフェースの番号。tshark -Dでリストが表示されるのでその番号を入れる。-fの後にはlibpcapフィルタを記述できる。

場合によってはWireSharkでも、Capture Options/Display Options/Update list of packets in real time
を無効にしたり、Capture Options/Capture/Bufferを大きくしたりすることでも解決できると思う。今日はここで終了！