相对ethereal和其後的wireshark产品而言，omnipeek支持的文件类型少了很多。不少用户喜欢用它们抓包，而我要打开这个包总需要先转换格式，目前对于wireshark抓到的包，总是要先用wireshark另存为sniffer的enc格式才能打开，对于大文件很不方便。不知道大家是怎么解决的？

ethereal的文件直接修改后缀名为dmp，
可以用OmniPeek直接打开

谢谢vader！

现在遇到一个问题。wireshark抓的一个包文件，有470MB大小（主干网上，7分钟，未过滤），用wireshark打开它没有问题，另存为enc,cap等格式也都能成功，且另存後的文件wireshark也能打开。但是不论的原文件改后缀名，还是另存为enc,cap等omnipeek支持的文件类型，ominipeek 4.0 personal都无法打开，提示在打开这个文件的时候出错，“…………The handle is invalid”。但如果用wireshark抓一小段数据後另存为enc格式omnipeek又可以打开。。

是omnipeek不支持这么大的文件，还是怎么回事？wireshark好像没有omnipeek那么直观的统计数据，我看着不习惯。又没发现饼图，peer map，协议分布等信息。

[ 本帖最后由 squallgold 于 2007-5-10 14:29 编辑 ]

Omnipeek与sniffer infinistream，wireshark等设计理念就不一样

楼上的推断基本是对的！

我也遇到过！

那怎么办……没辙了？文件过大也有问题？470MB左右对主干网也不算大吧……

在omniplance解决方案中
通过report,alarm等快速定位故障
然后设置过滤条件(时间,过滤器,分析工具,分析模块等),过滤出想要的报文,分析问题

omniplance解决方案？在哪儿呢。没看到...

OmniAnalysis

这个可能是你内存不够造成的？
我有个不成熟的plugin for OmniPeek，叫做bigfile plugin..你的邮件？我发给你看一下？

vader，邮件地址已经PM。
应该不是内存造成的。因为文件比较大，特别找了台2G内存的服务器来打开，硬盘也是SCSI的。性能应该没问题。

我曾经拿infinistream 的截了几个1GB的包下来，发现有的能用omnipeek打开，有的不行，omnipeek打不开的文件，就算用pro covent转换都没有用，squallgold说的对，与机器性能无关，和文件大小也没有关系。

我很感兴趣有多少人在分析1GB或者更大的文件

我是拿infini来做抓包的，我们的在核心交换上monitor server vlan。如果所有的进出流量都抓的话，1.25T的容量在8个小时内就会耗尽，如果只监控核心的AD server和2台Exchange，也只能支撑30个小时。现在我们用omnipeek的引擎来在总部的核心交换上抓VoIP的流量（所有分支机构的VoIP流量都得通过核心交换），自4月18号到现在，总共抓了近60GB的纯语音流量。问题也随之而来，由于我们的分支机构比较多，我们现在想先从大的方面入手，看看到底是哪些分支机构的VoIP电话有问题，然后重点分析几个效果比较差的分支机构之间的VoIP，看看到底出了什么问题，可是引擎默认的文件是64MB一个，分析起来，看不到总体的统计，从而无法快速的进行问题站点的筛选。我的想法是，和60个1GB的omnipeek 格式的文件，然后用pro convert来转换成sniffer的格式，然后用NG的App intell 来进行分析。Vader大人认为如何？

另外infinistream 截出来的包最大也就是1GB，如果超出1GB，infinistream会自动拆分成两个文件，所以想大于1GB也不行，以我的实际情况来说，我的notebook比较强劲：T2500(2GHz) CPU 2GB内存。用infinistream console的离线模式打开1GB捕捉文件没有omnipeek来得快，但还是可以忍受的。

真羡慕楼上的配置
很多NG的产品在我的系统上都不能安装
Visualizer,Netvigil,MSI和Administrator对cpu和ram的要求都至少是2ghz+和2GB
而且有的还要求系统是2003 sp1

俺xp下只能跑sniffer portable和infinistream了
想熟悉一下产品都难 更不用说用来工作了

引用:

原帖由 hujiongyu 于 2007-5-18 21:19 发表
我是拿infini来做抓包的，我们的在核心交换上monitor server vlan。如果所有的进出流量都抓的话，1.25T的容量在8个小时内就会耗尽，如果只监控核心的AD server和2台Exchange，也只能支撑30个小时。现在我们用om ...

我有一个33G的捕获文件,就是用我的large file plugin + Omnipeek 分析的,就是慢一些

你的需求和使用方式也比较有意思,如果纯粹比拼抓包的话,inifistream也不是必需的,为什么不用linux上的tcpdump?

Linux上的命令行参数一看就头晕，更别提这么多行参数了，而且tcpdump出来的格式sniffer和onmipeek是否都支持？就算支持怎么截取也是一个问题。infinistream之所以做的比较好是它的console上可以实时的看到流量的突发，便于我更准确的捕捉关键时段的流量，然后选中相应的时段的数据包后，还可以点击刷新，统计这个时段的一些信息统计，还可以做过滤，等于有2-3道的实时过滤器，这样可以更快的缩小派查的范围。
往大里说，要是做统计和故障区域的判定，那估计就得借助报表服务了，不过NG的visualizer做的实在是让人觉得很不爽。缺少了NG应有的大气。

个人感觉
Visualizer的报表精髓在于用户需要精确制定自己最为关注的业务及相关属性
尽管提供多多种报表功能,比如quick report,advanced report,还有什么baseline/billing/trend report等
只要利用好advanced report,利用丰富的报表选择项目,建立个性化的报表

另外,加入了简单的分析功能,虽然没有与packets联动,但用于报表生成足够了
如果能像administrator及MSI那样和数据包再关联起来 对于分析带来了不少便利

其实,我们这样说 几乎是宏观,感性上的认识
楼上可以稍微详细一点 比如需要达到一个什么样的要求及效果
这样,可能会更深入,具体一点