要设计捕获筛选器，请在“捕获筛选器”对话框中指定决策声明。这个对话框显示了筛选器的决策树，决策树是筛选器逻辑的图形表示。当从捕获规范中包括或排除信息时，决策树反映了这些规范。

(1)设计捕获筛选器

要设计捕获筛选器，请在“捕获筛选器”对话框中指定决策声明。这个对话框显示了筛选器的决策树，决策树是筛选器逻辑的图形表示。当从捕获规范中包括或排除信息时，决策树反映了这些规范。
 
(2)通过协议筛选

要捕获使用特定协议发送的帧，请在捕获筛选器的SAP/ ETYPE=行上指定协议。例例如，如果希望仅捕获IP帧，请禁用所有协议，然后启用 IP ETYPE0x800和和 IP SAP0x6。默认情况下，启用网络监视器所支持的所有协议。


 
(3)通过地址筛选

要捕获来自网络上特定计算机的帧，请在捕获筛选器中指定一个或多个地址对，并且可以同时监视最多四个特定的地址对。地址对由以下部分组成:

◆希望监视其通信的两台计算机的地址。

◆“INCLUDO”或者“EXCLUDE”关键字，指示了了网络监视器如何响应符合筛选器规范的帧。

不管在“捕获筛选器”对话框中状态显示的顺序如如何，都应首先评估“排除”状态。因此，如果帧符合包含“ EXCLUDE”和“ INCLUDE”两条语句的筛选器中“ EXCLUDE”语句所指定的条件，那么此帧将被丢弃。网络监视器不根据“ INCLUDE"”语句测试此帧是否也符合标准。

(4)通过数据模式选

通过在捕获筛选器中指定模式匹配，您可以:

◆限制捕获那些只包含 ASCII或十六进制数据的特定模式的帧。
 
◆指定一帧里多少字节数(偏移量)过后必须采用此模式。

◆当基于模式匹配进行筛选时，必须指定模式出现在帧中的位置(距离开始或结尾的字节数)。如果网络媒体在媟体访问控制协议中具有可变的大小，例如以太网或令牌环网，还要指定从拓扑结构头的结尾开始计数。

(5)使用显示筛选器

像捕获筛选器一样，显示筛选器功能就像数据库查询，允许选出特定类型的信息。但是因为显示筛选器在已经捕获的数据上操作，所以它不影响网络监视器捕获缓存中的内容。

使用显示筛选器确定显示的帧。可以根据如下内容筛选帧:
 
◆它的源地址和目标地址。
 
◆发送所使用的协议。

◆它所包含的属性和值。(属性是协议头中的数据字段，协议的属性说明了协议的用途。)
 
(6)显示捕捕获的数据

网络监视器通过解释在捕获过程中收集的原始数据以及在“帧查看器”窗口中显示数据来简化数据分析过程。

要在“帧查看器”窗口中显示捕获的信息，可以在微信小程序进行捕获时单击“捕获”菜单上的“停止和查看”或者打开一个捕获文件(.cap)，要显示用“ Network General Sniffer”捕获的数据，请打开未压缩的Sniffer文件。要查看压缩的的 Sniffer文件，可以在 Sniffer中打开此文件然后以不压缩格式保存此文件。或者从 Network General中获取 Sniffer文件的解压缩工具。