En Wireshark, puede ocurrir que realicemos una captura que se prolonge demasiado en el tiempo o que se trate de una captura con gran trasiego de de datos. En ambos casos el archivo de captura .cap será demasiado grande y puede ser intratable.  Para ello disponemos de una serie de opciones que nos facilitará el trabajo.

Vamos a estudiar estas opciones.

Para usar esta caracterísitica de Wireshark, debemos completar las opciones de uso de multiples archivos:

Vemos las opciones de Capture File(s):

• File. Aquí indicamos el archivo y ruta de los archivos .cap de captura.

El formato resultante del archivo .cap es el siguiente:

cap__ es el nombre que indicamos en el campo File.

00002 número de serie o de captura

20091026085612 marca de tiempo: fecha  2009-10-26 tiempo 08:56:12 en horas, minutos y segundos.

• Use multiple files. Marcamos esta opción para captura a multiples archivos.
• Next file every. Wireshark grabará un archivo nuevo cada n Megabytes, Kilobytes o Gigabytes.
• Next file every. wireshark también grabará un archivo nuevo cada n segundos, minutos, horas o dias.

NOTA:  Tanto si usamos la opción de grabar archivo nuevo cada n tiempo o cada n cantidad de bytes, ambas la podemos usar de forma independiente o marcar las dos. Si marcamos las dos, Wireshark grabará un archivo nuevo cada n cantidad de bytes, pero  si sobrepada el tiempo que marquemos en la segunda opción (opción de tiempo), entonces grabará un archivo nuevo aunque no llegue a la cantidad en bytes.

Lo vemos con un ejemplo. Fijaos en la captura anterior, tenemos marcado que grabe un archivo nuevo cada 1 Megabyte o cada 15 segundos. Si vemos los archivos .cap grabados:

Podeis observar que, a pesar de indicar que grabemos archivo nuevo cada 1 Megabyte, no llega a tal cantidad, ya que sobrepasa los 15 segundos marcado como límite de captura. Observad las marcas de tiempo, vereis como entre una y otra pasan exactsmente 15 segundos.

• Stop capture after. Wireshark parará la captura cuando se graben n ficheros .cap.
• Ring buffer with. Wireshark creará una serie de archivos de cáptura (buffer en anillo) cada n ficheros de captura.

NOTA: En Capture filter, podemos establecer un filtro para la captura de los multiples. cap. De esta forma optimizamos el rendimiento y el tamaña de los ficheros.

Navegando por los archivos de captura.

Podemos navegar a través de los set de archivos de captura de la forma siguiente en el menú de Wireshark: File > File Set > List Files:

Cuando seleccionemos cualquiera de los archivos de la captura, se visualizarán todos los datos correspondientes en Wireshark.

-----------------