Структура CAPTUREFILTER
В сетевом мониторе фильтр захвата определяется структурой CAPTUREFILTER. Отсутствие или сочетание флагов, значений и выражений определяет, какие кадры будут передаваться или удаляться драйвером сетевого монитора. На следующем рисунке показаны три области анализа захватного фильтра: Etype/SAP, адрес и поиск по шаблону.
В следующей таблице перечислены функции каждого элемента фильтра записи.
| Элемент фильтра | Действие |
|---|---|
| Etype/SAP | Оценивает параметры Etype/SAP. Сочетание флагов определяет, какие типы или значения параметров включены или исключены. |
| адрес | Оценивает исходные и целевые адреса и пары адресов. Различные сочетания флагов определяют, какие отдельные значения или сочетания пар адресов включены или исключены. |
| сопоставление шаблонов | Определяет сложные совпадения шаблонов в кадре. Флаги предоставляются для различных типов и различного смещения. Вы можете объединить совпадения шаблонов с логическими операторами AND или OR. |
| Клиппинг | Кадры клипов, заданные различными значениями байтов. Этот элемент можно использовать только для обрезки всех кадров или его использования с другими элементами фильтра захвата; например, чтобы найти и затем обрезать один кадр. |
| триггер | Этот элемент фильтра записи устарел. Триггеры больше не являются частью фильтра записи; Теперь они содержатся в собственных тегах BLOB, которые указываются отдельно. |
Кадр вычисляется по всем трем частям фильтра захвата. Таким образом, успешно переданный кадр должен пройти через каждый элемент. Помните, что драйвер сетевого монитора оценивает отсутствие любого из трех элементов как TRUE. Например, драйвер оценивает отсутствие раздела Etype/SAP как "ВСЕ кадры со значением ANY Etype/SAP допустимы".