1秒あたり1万以上のパケットを取り込むWiresharkとミラーポート
オフィスのインターネットトラフィックを監視するために、監視マシンにwiresharkをセットアップしました(約40台のマシン)。ただし、wiresharkを約30〜40秒以内に起動すると、クラッシュします。大量のパケットが1秒あたり約10,000以上受信されるためだと思います。これを解決する方法はありますか?画面の上部にあるフィルターオプションを使用しようとしましたが、それでも監視を有効にする必要があり、その時点でコンピューターが処理するにはデータが多すぎます...と思います!
オフィスのインターネット接続全体を実際に追跡しようとしている場合は、正しいサイズのハードウェアとソフトウェアが必要になります。本当にwiresharkを常に実行したいですか?常に完全なパケット検査が必要ですか?ヒント-おそらくそうではありません。
WebSenseやSurfControl(ユーザーがアクセスしているHTTP(S)サイトを確認するため)、Netflow(プロトコルとトップトーカーを識別するため)、またはその両方のようなものの方が適しているでしょうか。
あなたの完全な目標が何であるか、あなたのインターネットパイプを通過するトラフィックの量、そしてあなたの監視マシンのパフォーマンスを知らなければ、私たちはあなたにあなたの問題を解決する方法を教えることができません。しかし、私はあなたがそれを間違った方法で解決しようとしていると推測しています。 Wiresharkは、特定の問題のトラブルシューティングに最適です。常に実行するパケットタップとしてではなく、同じ規模のオフィスで最も頻繁に直面する問題に使用します。
表示フィルターは使用せず、代わりにキャプチャフィルターを使用してください。このようにして、wiresharkはあなたが興味を持っていないすべてのパケットを忘れることができます。
キャプチャフィルタオプションを見つける方法のヒントについては、 http://ask.wireshark.org/questions/12452/where-are-the-capture-filter-options-in-wireshark-18 を参照してください。