Question Comment filtrer les réponses HTTP 500 et leurs demandes dans Wireshark?


Comment filtrer les réponses HTTP 500 et leurs demandes dans Wireshark?

Je suis capable d'utiliser http.response.code == 500 pour trouver toutes les réponses qui ont obtenu le code de retour 500 mais je veux aussi pouvoir voir les requêtes de ces réponses.

Mettre à jour: Je souhaite le faire automatiquement afin de pouvoir configurer une instance tshark.exe pour enregistrer un jour et ne sauvegarder que le trafic HTTP intéressant (il existe un WEBDAV fonctionnant sur le même serveur avec un trafic important qui ne m'intéresse pas).

Deuxième mise à jour: Comme je voulais surtout enregistrer les messages envoyés à un WebService et non au WEBDAV, j’ai utilisé http.content_type contains "text/xml" filtrer les messages basés sur XML. Ce n'est pas à 100% ce que je cherchais, mais génère suffisamment de journaux pour permettre un débogage ultérieur.


7
2018-04-14 12:28


origine




Réponses:


Je crois que vous devrez mettre un filtre de capture pour tout le trafic HTTP, puis un filtre d’affichage pour le http.response.code == 500
Après avoir trouvé un code de réponse, supprimez le filtre d'affichage, puis utilisez le suivi du flux TCP - ou - le filtre de conversation pour rechercher les paquets associés ...


6
2018-04-14 14:20



@Scott Lundberg, merci pour l'allusion, mais je dois le faire automatiquement, ce qui, je suppose, n'est pas possible avec votre solution. - Martin
@mutzel: Si je comprends votre mise à jour, vous recherchez un déclencheur (code de réponse dans ce cas) qui démarrera votre capture, puis utilisez la base du déclencheur pour capturer uniquement cette conversation? Si oui, alors non, Wireshark ne pourra pas le faire pour vous car il n'a pas de déclencheurs ... - Scott Lundberg
oui, un déclencheur aurait été bien. Ou peut être un filtre basé sur des conversations et non des paquets. Pour pouvoir filtrer chaque conversation contenant un HTTP 500. - Martin