官方文档： https://www.wireshark.org/docs/wsug_html/

设置显示格式

默认的显示不符合中国人习惯，简单设置下

编辑 -》 首选项 -》 外观 -》 列

image.png

1. 修改时间的显示格式 ，默认是时间戳，改成绝对时间格式 ，双击类型修改，下拉选择 Absolute date，as YYYY-MM-DD, and time
2. Source 默认没有端口显示，按 4 的 + ，添加一列，title 是显示名称，支持中文，类型双击，下拉选择 Source Port
3. Dest 默认没有端口显示，按 4 的 + ，添加一列，title 是显示名称，支持中文，类型双击，下拉选择 Destination Port

可以拖动，修改列的显示顺序

搜索框表达式

搜索框里，要有指定表达式才能搜索，不是随便输入就能搜索的。

简单语法

image.png

要知道有哪些表达式，可以在 分析 -》 Display Filter Expression 里找到。这里也支持搜索

image.png

例如 from的信息

image.png

按访客手机号搜索

sip.from.user=="xxxxxx" || sip.to.user=="xxxxx"

链路的双方会来回发送和响应信息，所以要同时搜索 from.user和 to.user

搜索 坐席的register 信息

sip.from.user=="xxxx" && sip.Method == "REGISTER"

sip.from.user=="xxxx" && sip.Method == "REGISTER" && ip.dst_host=="xx.xx.xx"

坐席可能注册到不同的ip上 ， 确认IP的话，也可以加上IP的搜索条件

按call-id搜索

访客端查询 sip.Call-ID=="xxxxxx"
坐席端查询 sip.Call-ID == "xxxxxx"