Een ring buffer instellen in Wireshark

Wireshark is één van mijn favoriete open source tools die ik in mijn dagelijks werk frequent gebruik om problemen aan te wijzen in de communicatie tussen verschillende apparaten in een netwerk.

Packets don’t lie!

Maar soms is het heel lastig om een bepaald moment te vangen met Wireshark. Het instellen van een ring buffer kan hierbij een oplossing zijn.

Hoe stel je dit nu in?

  1. Open Wireshark en ga naar Capture, selecteer Options of gebruik de sneltoets Ctrl+K.
  2. Een nieuw menu opent zich en selecteer hier de optie Output.
  3. Let op dat de vakjes zijn aangevinkt en ingevuld bij zoals op onderstaande afbeelding te zien is en selecteer Start.

Ik gebruik zelf meestal een bestandsgrootte van 500 megabytes en een ring buffer van 5 bestanden. Ben ik niet in staat de capture tijdig te stoppen, dan vergroot ik de ring buffer ook wel eens naar 10, 15 of zelfs 20 bestanden. Hou er rekening mee dat dit enorm veel ruimte in neemt, maar ook voor additionele belasting van de CPU en het RAM geheugen. Het is natuurlijk niet de bedoeling dat een systeem vastloopt door Wireshark.

Note: Hoewel deze blog volledig Nederlandstalig is, kies ik ervoor om mijn besturingssysteem en hierop geïnstalleerde software zoveel mogelijk in het Engels in te stellen. Hiervoor heb ik twee redenen, waarvan de belangrijkste reden is dat ik voor een Amerikaans bedrijf werk en dus veel in het Engels communiceer en daarvoor moet ik frequent schermafbeeldingen en schermopnamen voor maken en die moeten allemaal in het Engels zijn. De andere reden is dat als ik ergens tegenaan loop, dat het makkelijker is om met de Engelse termen te zoeken naar een oplossing, dan naar een Nederlandstalige oplossing.