Technologie

Wie kann ich in Wireshark benutzerdefinierte Spalten hinzufügen und konfigurieren?

Melden
  1. Einführung
  2. Wireshark öffnen und Paketanalyse starten
  3. Zu den Einstellungen für Spalten navigieren
  4. Eine neue benutzerdefinierte Spalte hinzufügen
  5. Spaltenname und Typ festlegen
  6. Das passende Feld definieren
  7. Formatierung der Spalte anpassen
  8. Spaltenposition festlegen und Änderungen speichern
  9. Fazit

Einführung

Wireshark ist ein leistungsstarkes Netzwerk-Analysetool, das es erlaubt, Netzwerkpakete detailliert zu untersuchen. Standardmäßig zeigt Wireshark in der Paketliste eine Reihe vordefinierter Spalten an, wie z.B. Zeitstempel, Quell- und Zieladressen oder das Protokoll. Allerdings kann es sinnvoll sein, diese Ansicht anzupassen und benutzerdefinierte Spalten hinzuzufügen, die spezifische Informationen oder Felder aus den Paketen direkt sichtbar machen. Im Folgenden wird detailliert beschrieben, wie benutzerdefinierte Spalten in Wireshark hinzugefügt und konfiguriert werden können.

Wireshark öffnen und Paketanalyse starten

Um benutzerdefinierte Spalten zu erstellen, starten Sie zuerst Wireshark und öffnen entweder eine bestehende Paketdatei (*.pcap, *.pcapng) oder starten eine Live-Aufnahme. Die Paketliste, in der die Spalten angezeigt werden, befindet sich standardmäßig im oberen Bereich des Wireshark-Fensters.

Zu den Einstellungen für Spalten navigieren

Das Hinzufügen und Konfigurieren von Spalten erfolgt über die Einstellungen der Paketliste. Dazu klicken Sie im Menü auf Ansicht und wählen anschließend Spalten… aus. Alternativ können Sie auch mit der rechten Maustaste auf eine der bestehenden Spaltenüberschriften klicken und im Kontextmenü Spalten bearbeiten… auswählen. Dadurch öffnet sich das Dialogfenster Spalten bearbeiten.

Eine neue benutzerdefinierte Spalte hinzufügen

Im Dialog Spalten bearbeiten sehen Sie eine Liste aller momentan angezeigten Spalten, jeweils mit Namen, Typ und Format. Um eine neue Spalte hinzuzufügen, klicken Sie auf die Schaltfläche + am unteren Rand dieser Liste. Es erscheint ein neuer Eintrag am Ende der Liste, der standardmäßig einen generischen Namen hat, z.B. New column.

Spaltenname und Typ festlegen

Geben Sie der neuen Spalte einen aussagekräftigen Namen, der Ihnen die spätere Identifizierung erleichtert, etwa HTTP-Methode oder TCP-Flags. Unverzichtbar für benutzerdefinierte Spalten ist der Typ. Wireshark bietet verschiedene Typen an, von denen der Typ Feld für benutzerdefinierte Spalten besonders wichtig ist. Er erlaubt es, einen bestimmten Feldwert direkt aus dem Paket auszulesen und in der Spalte darzustellen.

Das passende Feld definieren

Ist der Typ Feld ausgewählt, müssen Sie im Feld Feldname (manchmal auch Spaltenquelle) den exakten Namen des Protokollfelds angeben, das angezeigt werden soll. Diese Feldnamen entsprechen den internen Wireshark-Protokollfeldern, beispielsweise http.request.method für die HTTP-Anfragemethode oder ip.src für die Quell-IP-Adresse. Um den richtigen Namen zu finden, können Sie ein Paket in der Paketdetail-Ansicht öffnen, dort den gewünschten Wert mit der rechten Maustaste anklicken und dann Feld zum Spalten hinzufügen wählen. Wireshark übernimmt dann automatisch diesen Feldnamen in die Spaltendefinition.

Formatierung der Spalte anpassen

Abhängig vom Feldtyp lässt sich einstellen, wie der Wert formatiert dargestellt wird. Beispielsweise bei Zahlen kann das Format in Dezimal oder Hexadezimal umgeschaltet werden. Bei manchen Feldern kann auch die Länge oder Darstellung beeinflusst werden. Diese Einstellungen finden Sie ebenfalls im Dialog und erlauben eine präzise Anpassung der Darstellung an Ihre Anforderungen.

Spaltenposition festlegen und Änderungen speichern

Über die Pfeiltasten können Sie die Reihenfolge der Spalten in der Liste verändern, was sich direkt auf die Anordnung der Spalten in der Paketliste auswirkt. Wenn alle Einstellungen vorgenommen wurden, schließen Sie den Dialog mit OK. Die neue benutzerdefinierte Spalte wird sofort angezeigt und füllt sich mit den Werten der ausgewählten Pakete. Änderungen werden automatisch in den Wireshark-Einstellungen gespeichert, sodass die Konfiguration bei Neustart erhalten bleibt.

Fazit

Die Möglichkeit, benutzerdefinierte Spalten in Wireshark zu erstellen, ermöglicht eine blitzschnelle Sicht auf genau die Informationen, die für eine Analyse oder Fehlersuche wichtig sind, ohne umständlich Pakete einzeln anzusehen. Durch die Verknüpfung mit den internen Protokollfeldern lässt sich die Anzeige genau auf die eigenen Bedürfnisse anpassen und erleichtert so den Umgang mit komplexen Netzwerkdaten.

0

Kommentare