Wiresharkのおすすめ表示設定
Wireshark TIPS
Wiresharkは、多機能で解析するレイヤーやプロトコルにあわせていろいろな設定ができ、また柔軟に表示を変更することが可能です。自分好みの表示は、自分にとっては非常に使いやすい反面、他の人によってはすごく使いづらいものです。また、このようなブログを書く際、あまりにもカスタマイズした画面で説明しても、初心者はそもそもこんな表示ではないととまどってしまうかもしれません。
今回は、あまりにもカスタマイズしすぎてよくわからなくなってしまった際の表示を初期設定に戻す方法と私の個人的におすすめのカスタマイズ表示について解説します。
目次
Wiresharkの設定(プロファイル)の初期化、保存、切り替え
設定をインストール時の状態に初期化する方法
現在の設定(プロファイル)を保存する方法
設定(プロファイル)を切り替える方法
言語の切り替え
画面のレイアウト
カラーリングルールの設定
時刻の表示形式
今回は、現時点での最新バージョンであるVer.3.6.2のWiresharkで解説します。また、メニュー表示の言語は英語としています。今後の記事も特に注記がない場合は、最新版、英語表示、初期設定で解説を行います。
Wiresharkの設定(プロファイル)の初期化、保存、切り替え
設定をインストール時の状態に初期化する方法
Wiresharkの設定をインストール時の状態に戻す方法は、以下のとおりです。
- [Help]menu > About Wireshark > [Folders]tab>"Personal Configuratiom"のリンクをクリックし該当フォルダを開く
- Wiresharkを終了する
- 1.で開いたフォルダの中のファイルをすべて削除する
これで、すべての設定削除され、インストール時の状態に戻ります。
現在の設定(プロファイル)を保存する方法
現在の設定の状態はプロファイルとして管理されます。現在適用されているプロファイルは画面右下に表示されています。
初期状態にしたら、ぜひそのプロファイルを作成しておきましょう。そうすれば、自分でもどうやって戻すかもはやわからなくなった表示も一瞬で初期状態に戻せます。手順書などは、相手がどのようにカスタマイズしているかわからないので、初期状態で書くことが理想です。
また、特定のアプリケーションの解析などに特化した表示もプロファイルを保存しておけば、すぐに表示を切り替えることが可能です。
プロファイルの保存は、[Edit]menu>"Configuration Profiles..."か、 Wireshark画面右下の"Profile"を右クリックして、"Manage Profiles..."で行います。
現在のプロファイルをコピーする場合は、現在のプロファイルを選択して右下の複製ボタンでプロファイルを複製し、必要に応じて名前を変更しOKをクリックすると新たにプロファイルが保存されます。
設定(プロファイル)を切り替える方法
プロファイルを切り替える場合は、右下のProfileをクリックするか、右クリックで"Switch; to"で保存されているプロファイルの選択が可能になります。
どこまで翻訳するかなどの設定やカラーリングルールなどもプロファイルに保存されますので、非常に便利です。
おすすめ表示設定
ここからは、私のおすすめの表示設定についてご紹介します。人により使いやすさは異なりますし、私もいつもこの表示設定でパケットを見ているわけではありません。
設定を少し変更するだけで見やすくなることも多々ありますので、これに限らずいろいろ試してみてください。 上記の手順にあるとおり、現在の設定を保存してから変更すると、すぐに設定をもとに戻すことができますので安心です。
- 言語の切り替え
- 画面のレイアウト
- カラーリングルールの設定
- 時刻の表示形式
言語の切り替え方法
メニューなどの言語を切り替える方法は、[Edit]menu > Preference > Appearanceをクリックし、Languageを選択します。
インストール時の設定は、「システム設定を利用」となります。OSが日本語の場合、日本語表示となります。Wiresharkを長く使っている方は、途中から(Ver.2.xの後半くらい?)日本語化されたので慣れが必要かもしれません。
私は英語は得意ではないのですが、WiresharkのGUIについては、英語のほうが慣れているため表示を英語にしています。
画面レイアウトの変更方法
Wireshark Ver.4.xより、本設定がデフォルトとなりました。
Ver.3.xでは以下のとおりに画面レイアウトの設定変更ができます。
Wiresharkの初期設定の縦に3分割画面は、最近の主流である16:9のアスペクト比だと見づらく感じます。ですので、私は以下のレイアウトを選択しています。
[Edit]menu > Preference > Appearance > Layoutで設定を変更します。
私は、この画面でもうひとつ初期状態から設定変更を変えています。"Status Bar settings"の"Show selected packet number"にチェックでをつけています。この設定を行うと現在選択しているパケットNo.が右下に表示されます。特にカラー表示の設定を有効にしていると、選択したパケットがわからなくなってしまうため、この設定は大変役に立ちます。
また、私は通常ではカラー表示を無効にしており、必要な場合だけ有効にするようにしています。
パケットのカラーリングルール設定の変更方法
パケットのカラーリングルール設定の変更方法は、[View]menu > Coloring Rules...で行います。
その際、覚えておくと便利なことがいくつかあります。
他のプロファイルからコピーやインポート・エクスポートが可能
この設定は、他のプロファイルから設定を読み込むことができます。また、便利な設定を作成したら、他の人と共有することが可能です。
Wireshark.orgなどでもおすすめルールは公開
おすすめのカラーリングルールの設定は、いろいろなところで公開されています。例えば、gitlabのサイトには以下があります。
Wireshark Foundation > wireshark > Wiki ColoringRules
このほか、個人ブロガーさんなどでも公開しているのを見かけたことがあります。あまり知らないプロトコルを解析する場合など、探してみると使いやすいルールが見つかるかもしれません。
カラーリングルールの有効・無効
カラー表示がそもそも不要な場合は、あらかじめ表示を無効にしておくとファイルを開く速度が向上します。
はじめからチェックサムがエラーの環境になるような環境でキャプチャしている場合は、チェックサムの判別はそもそも不要です。
それにも関わらず、その設定でカラーリングルールを有効にしておくとパフォーマンスに大きく影響を及ぼします。
カラー表示・非表示の切り替えは、表示上のツールバーアイコンのクリックで簡単にできます。
時刻の表示形式
初期設定の表示は、最初のパケットからの経過時間、すなわち相対時間となっています。絶対時刻に変更する場合は、[View] menu> Time Display Formatから時刻表示形式の選択を行います。
どの表示形式が便利かは解析する内容によりますので、必要に応じて切り替えて使います。
あとがき
今回は、Wiresharkで表示した際の表示設定についてご紹介しました。Wiresharkべしべからず集でも書きましたが、人によって使いやすい設定は異なりますので、いろいろ試して使いやすい設定を見つけてみてください。
「私はこうしています」や「こうやったらもっと便利です」などご意見がありましたら、ぜひSYNESIS エンジニアノート お問い合わせページよりご連絡をください。