通过EA-LITE实现对特定IMSI的原始流量过滤

kinghighland

数据网优工程师平时习惯于使用Wireshark进行分析，但是Wireshark无法打开超过2GB的大文件，而且现网流量较大时，抓包很短的时间就会产生一个大文件，导致一个会话过程会被分割到很多个cap文件中去。如果要分析这个会话的详细报文，就不得不依次打开这些大文件，一个一个做过滤输出，然后再把过滤后的很多个小文件合并成一个文件。

EA-LITE可以在执行解码时对指定的IMSI进行原始流量过滤，可以利用这个功能来自动实现上面的处理过程，一次对付几十个GB甚至几百个GB的cap文件，步骤如下：

进入控制台界面的数据源选项卡，在实时跟踪过滤选项中选中“过滤保存文件”，然后点IMSI过滤清单


对打开的文件进行编辑，输入要跟踪的IMSI，可以一次处理十几个


然后回到控制台执行常规的解码过程，解码结束之后即可到如下目录找到过滤输出的cap文件，文件按IMSI命名。