CAPTUREFILTER 構造体
ネットワーク モニターでは、 キャプチャ フィルター は CAPTUREFILTER 構造体によって定義されます。 フラグ、値、および式の存在または組み合わせによって、ネットワーク モニター ドライバーによって渡されるフレームまたはドロップされるフレームが決まります。 次の図は、キャプチャ フィルター分析の 3 つの領域 (Etype/SAP、アドレス、パターンの一致) を示しています。
次の表に、各キャプチャ フィルター要素の関数を示します。
| Filter 要素 | アクション |
|---|---|
| Etype/SAP | Etype/SAP 設定を評価します。 フラグの組み合わせによって、どの設定の種類または値が含まれるか除外されるかが決まります。 |
| アドレス | 送信元と宛先のアドレスとアドレスのペアを評価します。 フラグの組み合わせが異なると、アドレス ペアの個々の値または組み合わせが決まります。 |
| パターン マッチ | フレーム内の複雑なパターンの一致を定義します。 フラグは、さまざまな型とオフセットに対して提供されます。 パターン一致は、論理 AND または OR 演算子ステートメントと組み合わせることができます。 |
| クリッピング | さまざまなバイト値で指定された方法でフレームをクリップします。 この要素のみを使用して、すべてのフレームをクリップしたり、他のキャプチャ フィルター要素と共に使用したりできます。たとえば、1 つのフレームを検索してクリップする場合などです。 |
| トリガー | このキャプチャ フィルター要素は廃止されました。 トリガーはキャプチャ フィルターの一部ではなくなりました。これらは、個別に指定された独自の BLOB タグに含まれるようになりました。 |
フレームは、キャプチャ フィルターの 3 つの部分すべてに対して評価されます。 したがって、正常に送信されたフレームは、各要素を渡す必要があります。 ネットワーク モニター ドライバーは、3 つの要素のいずれかが存在しない場合を TRUE として評価します。 たとえば、ドライバーは、Etype/SAP セクションがない場合を "ANY Etype/SAP 値を持つすべてのフレームが有効です" と評価します。