Die CAPTUREFILTER-Struktur
In Netzwerkmonitor wird der Erfassungsfilter durch die CAPTUREFILTER-Struktur definiert. Das Fehlen oder die Kombination von Flags, Werten und Ausdrücken bestimmt, welche Frames vom Treiber übergeben oder Netzwerkmonitor werden. Die folgende Abbildung zeigt die drei Bereiche der Analyse des Erfassungsfilters: Etype/SAP, Address und Pattern Match.

In der folgenden Tabelle ist die Funktion der einzelnen Erfassungsfilterelemente aufgeführt.
| Filter-Element | Aktion |
|---|---|
| Etype/SAP | Wertet Etype-/SAP-Einstellungen aus. Die Kombination von Flags bestimmt, welche Einstellungstypen oder -werte eingeschlossen oder ausgeschlossen werden. |
| Adresse | Wertet Quell- und Zieladressen und Adresspaare aus. Verschiedene Kombinationen von Flags bestimmen, welche einzelnen Werte oder Kombinationen von Adresspaaren eingeschlossen oder ausgeschlossen werden. |
| Pattern Match | Definiert komplexe Muster-Übereinstimmungen innerhalb eines Frames. Flags werden für verschiedene Typen und Offsets bereitgestellt. Sie können Muster übereinstimmungen mit logischen AND- oder OR-Operator-Anweisungen kombinieren. |
| Freistellen | Clipframes auf eine Weise, die von verschiedenen Bytewerten angegeben wird. Sie können nur dieses Element verwenden, um alle Frames zu beschneiden oder es mit anderen Erfassungsfilterelementen zu verwenden. Beispielsweise , um einen einzelnen Frame zu suchen und dann zu beschneiden. |
| Trigger | Dieses Erfassungsfilterelement ist veraltet. Trigger sind nicht mehr Teil eines Erfassungsfilters. Sie sind jetzt in ihren eigenen BLOB-Tags enthalten, die separat angegeben werden. |
Ein Frame wird für alle drei Teile des Erfassungsfilters ausgewertet. Daher muss ein erfolgreich übertragener Frame jedes Element übergeben. Beachten Sie, dass der Netzwerkmonitor-Treiber das Fehlen eines der drei Elemente als TRUE auswertet. Beispielsweise wertet der Treiber das Fehlen eines Etype/SAP-Abschnitts als "ALLE Frames mit dem ANY Etype/SAP-Wert sind gültig" aus.