Пытаюсь открыть CAP файл в 3 гига - Wireshark его затягивает весь в память и благополучно падает, съев чуть меньше его трети. Посоветуйте , плиз, бесплатный аналог Wireshark, который имел бы UI и умел бы работать с синтаксисом фильтров из Wireshark. Желательно под WinXP и 32 бита.

Пытаюсь открыть CAP файл в 3 гига ....Желательно под WinXP и 32 бита. »
увы, что-то мне подсказывает что вы ничего не найдете что будет работать

А в чем проблема? Могу рассмотреть и небесплатные варианты. В упор не пойму нафига иметь этот файл загруженный в память целиком.

К тому что 32битные версии ОС умеют работать только с ~3.5гб оперативной памяти, из которых 3гб ты хочешь загрузить одним файлом. А еще память нужна на работу ОС + работу всего софта тоже нужна память. Её не хватает вот всё и падает. Если софт не крашится а зависает - теоретически ты можешь подождать оченьмноговремени пока ОС выгрузит всё остальное в файл подкачки и попробовать работать так, но вряд ли из этого что-то получится.
В упор не пойму нафига иметь этот файл загруженный в память целиком. »
А как ты собрался работать с большим логом при этом НЕ имея его целиком в памяти? Динамически догружать-выгружать его тудасюда после каждого запроса? Это уже не работа с файлом а работа с базой данных.

Ну если верить интернетам (https://iamsan.ru/windows/wireshark), то впринципе можно разделять файл, а не пробовать впихнуть невпихуемое


C:\Program Files\Wireshark>capinfos -eac proverka.cap
File name: proverka.cap
Number of packets: 7983737
Start time: Wed Sep 07 11:26:15 2011
End time: Wed Sep 07 11:42:17 2011

Смотрим: "Number of packets: 7983737" равен приблизительно 8 мульёнам, соответственно, если разбить на файлы по 2 мульёна, получится 4 файла.

Так и поступим:

editcap -c 2000000 proverka.cap split.cap

Далее, подгрузим в wireshark и делаем то, что планировали.

А как ты собрался работать с большим логом при этом НЕ имея его целиком в памяти? Динамически догружать-выгружать его тудасюда после каждого запроса? Это уже не работа с файлом а работа с базой данных. »

Ну да, мне и надо что-то , что умеет фильтровать через PCAP синтаксис и скроллить . Это что, так много?

А как ты собрался работать с большим логом при этом НЕ имея его целиком в памяти? Динамически догружать-выгружать его тудасюда после каждого запроса? Это уже не работа с файлом а работа с базой данных. »
ну я хоть и не кодер, но читал кой-чего и помню, что подгружать весь файл это кагбе плохо. Давно-давно, читал что именно и нужно подгружать по-частям, "маппить" как-то так и это есть хороший-годный способ. а грузить полностью - суксь и тупо. не?

Charg, это не лог, а дамп
с логом как раз не проблема работать последовательно

freese, и чего дальше с этими обрезками делать, если запрос к серверу будет в одном файле, а ответ в другом?

senglory, отфильтруйте его в другой дамп (по хосту, например) и частичный дамп уже и скрольте. Это можно сделать с помощью tshark.

x0r, мапить хорошо, когда данные в файле структурированы, а сетевой дамп - это непредсказуемая каша, которую надо разложить по полочкам.

Cascade Pilot работает с дампом, как с БД, т.е. строит к дампу внешний индекс, а не грузит всё в память. Есть бесплатная версия для личного пользования.