导出数据 › 导出数据到 PCAP 文件

导出数据到 PCAP 文件

您可以将当前视图的数据包捕获数据导出到 PCAP 格式的数据包捕获文件。 数据包捕获文件是基于原始捕获文件构建的，它显示当前分析中包含的所有会话的数据包。

PCAP 格式广泛应用于网络跟踪文件，以及其他用于检查和交换数据包级数据的方法。 PCAP 与 WinPcap (Windows) 和 libpcap (UNIX) 兼容。 使用这些应用程序编程接口的应用程序可轻松读取和显示 PCAP。

管理员以及具有 CA Application Delivery Analysis 调查角色权限的用户可以使用“导出到 PCAP”功能。 默认情况下，只有“IT 工程师”和“IT 经理”角色允许访问该功能。

提示：

• PCAP 文件导出可以需要一段时间才能完成。 打开“文件下载”对话框所需的时间取决于导出的数据量。
• 缩小分析的时间范围可以改善“导出到 PCAP”功能的性能。 缩小时间范围可以减少在其中搜索相关数据包的原始捕获文件的数目。 使用“时段”选择器或图表时间控件可放大所需的时间范围。
• 删除含有所需数据的原始捕获文件后，“导出到 PCAP”功能将不可用。 捕获文件的保留时间短于度量标准数据库中度量标准数据的保留时间。
• 对于 IPv4（TCP 和 UDP）标头（包括扩展标头），“每数据包最大字节数”参数的“仅标头”选项适用。 如果在导出非 IP 通信量时选择“仅标头”，则仅会接收第 2 层 MAC 标头。 此时，应选择一个字节值（例如 128），以查看每个帧的更多信息。
• 会话级性能数据仅适用于 Multi-Port Monitor 逻辑端口上接收的基于 IPv4 的端口镜像数据。
• 可以在协议分析器（又称数据包探查器，如免费工具 Wireshark）中查看 PCAP 文件。 协议分析器将观测通过网络的数据流，并检查每个数据包的副本。 它们在图形用户界面中显示数据包标头中每个字段的内容，而用户可以在图形用户界面中筛选、排序和分析数据。
• 协议分析器是一个非常有用的工具，可帮助诊断与分析 Multi-Port Monitor 捕获到的数据。 使用协议分析器需要了解以太网、IP 和第 4 层协议数据包的结构。

请执行以下步骤：

1. 显示要导出的数据：
   1. 在“分析”窗格中单击数据视图。
   2. 应用更多筛选，或按选定列排序数据表。
2. 单击“导出”>“到 PCAP”。

   “导出到 PCAP”对话框显示了要导出的数据包跟踪的时间范围。

3. 在“逻辑端口”字段中选择收到了您要导出的数据的端口。 显示了每个可用端口的会话数和通信量（以字节为单位）。 这些统计数据基于当前筛选（如时间范围和视图）。 它们不指示您要导出的文件大小。

   对于每个导出的 PCAP 文件只选择一个端口。

4. 在“每数据包最大字节数”字段中选择要从每个数据包包含的最大字节数。 默认选项是只在 PCAP 文件中包含标头。
5. 单击“确定”。

   将打开“另存为”对话框。

6. 选择一个位置用于保存导出的 PCAP 文件。
7. 单击“保存”。