关于wireshark流量分析软件brim（Zui）安装手段

一、安装Zui

https://github.com/brimdata/zui/releases/download/v1.18.0/Zui-Setup-1.18.0.exe

​

​

二、安装使用brim

https://github.com/brimdata/brimcap/releases

在安装目录打开cmd窗口

在cmd下使用如下命令：

brimcap analyze (pcap文件路径) > sample.zng

​​

得到zng文件

​

三、分析流量包

将生成的文件导入到zui这个软件中

导入之后点击Load载入文件

​

然后点击Query Pool开始用语句查找协议

​

简单使用：

1. 按 IP 地址分析

• 统计每个源 IP 的请求数量（降序排列）

• count() by id.orig_h | sort -r count

• 筛选来自特定源 IP 的所有流量

• id.orig_h == 192.168.1.100

• 统计每个目的 IP 接收的请求数

• count() by id.resp_h | sort -r count

2. 按 URL/URI 分析

• 统计每个 URI 的访问次数（只看成功请求）

• count() by uri | status_code == 200 | sort -r count

• 筛选包含特定路径的 URL（例如包含 /api/​）

• uri contains "/api/"

• 统计访问量最高的前 10 个 URL

• count() by uri | sort -r count | head 10

3. 按时间分析

• 按小时统计请求数量（时间字段通常为 ts​）

• count() by hour(ts) | sort hour(ts)

• 筛选特定时间段的流量（例如 2023-10-01 08:00 到 12:00）

• ts >= "2023-10-01 08:00:00" and ts <= "2023-10-01 12:00:00"

• 统计每天的请求量变化

• count() by dayofweek(ts) | sort dayofweek(ts)

4. 按状态码分析

• 统计不同 HTTP 状态码的分布

• count() by status_code | sort -r count

• 筛选所有错误状态码（4xx 客户端错误或 5xx 服务器错误）

• status_code >= 400

• 查看特定状态码（如 404 未找到）的请求详情

• status_code == 404 | table id.orig_h, uri, ts

5. 组合条件筛选

• 特定 IP 在特定时间段的错误请求

id.orig_h == 10.0.0.5 and status_code >= 400 and ts >= "2023-10-01 00:00:00"

• 统计某 URI 被不同 IP 访问的次数（排除成功请求）

count() by id.orig_h, uri | uri == "/login" and status_code != 200 | sort -r count