Справка фильтра информации о Wireshark
Вы можете агрегировать, используя GROUP BY CUST_ID, чтобы получить несколько строк как одну строку.
Попробуйте изменить запрос следующим образом.
SELECT CUST_ID,
Max(ATTR_ID_1) AS ATTR_ID_1,
Max(ATTR_ID_2) AS ATTR_ID_2,
Max(ATTR_ID_3) AS ATTR_ID_3,
Max(ATTR_ID_4) AS ATTR_ID_4,
Max(ATTR_ID_5) AS ATTR_ID_5,
Max(ATTR_ID_6) AS ATTR_ID_6
FROM (SELECT CUST_ID,
CASE WHEN "ATTR ID" = 1 THEN "ATTR_VALUE" END AS ATTR_ID_1,
CASE WHEN "ATTR ID" = 2 THEN "ATTR_VALUE" END AS ATTR_ID_2,
CASE WHEN "ATTR ID" = 3 THEN "ATTR_VALUE" END AS ATTR_ID_3,
CASE WHEN "ATTR ID" = 4 THEN "ATTR_VALUE" END AS ATTR_ID_4,
CASE WHEN "ATTR ID" = 6 THEN "ATTR_VALUE" END AS ATTR_ID_5,
CASE WHEN "ATTR ID" = 7 THEN "ATTR_VALUE" END AS ATTR_ID_6
FROM "TABLE_NAME"
WHERE CUST_ID = '20002123')T
GROUP BY CUST_ID
3 ответа
Вы не можете сделать это напрямую. Столбец информации декодируется на основе свойств пакета, и вы можете фильтровать их, что будет иметь точно такой же эффект. Единственная разница в том, что вам нужно выяснить, какую информацию использует wirehark для создания этой информационной строки, что может быть не интуитивно понятным.
В этом примере 'insitu-conf' - это псевдоним порта для порта 1490 (grep insitu- conf / etc / services), и поэтому wirehark сообщает вам, что это пакет с удаленного порта 51811 на локальный порт 1490. Таким образом, фильтр для ограничения этих пакетов будет 'dst port = 1490'.
В других случаях, может быть более информативная информационная строка, основанная на нескольких свойствах пакета, включая порт и некоторые данные - например,
Вам нужны фильтры захвата или фильтры отображения ? "Insitu-conf" - это имя хоста?
Изменить:
Похоже, что insitu-conf - это порт 1490, поэтому простой фильтр вроде:
tcp.port == 1490 || udp.port == 1490
должен помочь.
http.request.uri совпадает с "insitu-conf", также должно работать.