关于wireshark流量分析软件brim(Zui)安装方法
一、安装Zui
https://github.com/brimdata/zui/releases/download/v1.18.0/Zui-Setup-1.18.0.exe
二、安装使用brim
https://github.com/brimdata/brimcap/releases
在安装目录打开cmd窗口
在cmd下使用如下命令:
brimcap analyze (pcap文件路径) > sample.zng
得到zng文件
三、分析流量包
将生成的文件导入到zui这个软件中
导入之后点击Load载入文件
然后点击Query Pool开始用语句查找协议
简单使用:
1. 按 IP 地址分析
- 统计每个源 IP 的请求数量(降序排列)
count() by id.orig_h | sort -r count- 筛选来自特定源 IP 的所有流量
id.orig_h == 192.168.1.100- 统计每个目的 IP 接收的请求数
count() by id.resp_h | sort -r count
2. 按 URL/URI 分析
- 统计每个 URI 的访问次数(只看成功请求)
count() by uri | status_code == 200 | sort -r count- 筛选包含特定路径的 URL(例如包含 /api/)
uri contains "/api/"- 统计访问量最高的前 10 个 URL
count() by uri | sort -r count | head 10
3. 按时间分析
- 按小时统计请求数量(时间字段通常为 ts)
count() by hour(ts) | sort hour(ts)- 筛选特定时间段的流量(例如 2023-10-01 08:00 到 12:00)
ts >= "2023-10-01 08:00:00" and ts <= "2023-10-01 12:00:00"- 统计每天的请求量变化
count() by dayofweek(ts) | sort dayofweek(ts)
4. 按状态码分析
- 统计不同 HTTP 状态码的分布
count() by status_code | sort -r count- 筛选所有错误状态码(4xx 客户端错误或 5xx 服务器错误)
status_code >= 400- 查看特定状态码(如 404 未找到)的请求详情
status_code == 404 | table id.orig_h, uri, ts
5. 组合条件筛选
- 特定 IP 在特定时间段的错误请求
id.orig_h == 10.0.0.5 and status_code >= 400 and ts >= "2023-10-01 00:00:00"
- 统计某 URI 被不同 IP 访问的次数(排除成功请求)
count() by id.orig_h, uri | uri == "/login" and status_code != 200 | sort -r count