協議分析儀（yí）支持哪些自定義規則設（shè）置？

協議分析（xī）儀支持多種自定義規（guī）則設置，涵蓋過濾、捕獲、觸發、解碼、分析、存儲與導出等多個維度，能（néng）夠滿足複雜網絡環境下的精（jīng）準監測需求。以下是具體規則類型及設置方式：

一、過（guò）濾規則：精準篩（shāi）選目標流量

1. 基礎字段過濾
   • IP/端口（kǒu）過（guò）濾（lǜ）：通過源（yuán）/目的IP、端口號縮小範圍。例如：
     • ip.src == 192.168.1.100（僅顯示源IP為該地址的數據包）
     • tcp.port == 80（僅顯示HTTP流量）
   • 協議類型過濾：直接篩選特定協議，如（rú）http、icmp、dns等。
   • 邏輯組合：使用and、or、not組合條件，例（lì）如：
     • (ip.src == 192.168.1.1 and tcp.port == 80) or (ip.dst == 192.168.1.2 and udp.port == 53)
     • !(ip.addr == 10.0.0.5)（排（pái）除（chú）所有（yǒu）涉及10.0.0.5的數據包）
2. 高級（jí）字段（duàn）過濾
   • 協議特定字段：針對協議深層字段篩選（xuǎn），例如（rú）：
     • http.request.method == "GET"（僅顯示HTTP GET請求）
     • dns.qry.name contains "example.com"（篩選包含特定域名的DNS查詢）
     • tcp.flags.syn == 1（僅顯示TCP SYN握手包）
   • 正則表達式匹配：支持對文本（běn）字段進行模式匹配（pèi），例如：
     • http.request.uri matches "^/api/.*"（匹配所有以（yǐ）/api/開頭（tóu）的HTTP請求路徑）
     • data contains "48656c6c6f"（十六進製過濾，匹配數據中（zhōng）包含"Hello"的ASCII編碼）
3. 時間與長度過濾
   • 時間範（fàn）圍：結合時間戳篩選特定時間段（duàn）的數據，例如：
     • frame.time >= "2025-07-17 10:00:00" and frame.time <= "2025-07-17 10:30:00"
   • 數據包（bāo）長度：根據幀長度或協議負載大小篩選，例如：
     • frame.len > 1000（顯示長度超過1000字節的數據包）
     • tcp.len == 0（篩（shāi）選TCP零窗口通告包，分析網絡擁塞）

二、捕獲規則：優化（huà）數據采集效率

1. 鏈路層（céng）過濾
   • 以太網幀過濾：基於MAC地址或幀類型捕獲（huò），例如：
     • ether src 00:11:22:33:44:55（捕獲源MAC地址為該值的幀）
     • ether dst ff:ff:ff:ff:ff:ff and arp（捕獲廣播地址的ARP請求）
   • USB過（guò）濾：針對USB設備地址、傳輸類型或端點號過濾，例如：
     • usb.device_address == 3 and usb.transfer_type == 0x01（捕獲（huò）設備地址3的控製傳輸）
2. 協議層過濾
   • IP協議過濾（lǜ）：捕獲特（tè）定IP包，例如：
     • ip.src == 192.168.1.100 and icmp（捕獲源IP為192.168.1.100的ICMP包）
   • HTTP協議過濾：捕獲特定HTTP請求，例如：
     • http.request.method == "GET" and http.request.uri contains "/api/data"
3. 專用協議過濾
   • BLE協議：捕（bǔ）獲（huò）特定設備地址或廣告包，例如（rú）：
     • ble.advertising_address == 00:1a:7d:da:71:13（捕獲指定BLE設備的廣告包（bāo））
   • Zigbee協議：過濾特定設備地址或功能簇，例如：
     • Source Address: 0x1234, Cluster ID: 0x0006（捕獲設備0x1234的開關控製（zhì）命令）

三、觸發規則：實時響應關鍵事件

1. 邊沿/電（diàn）平觸發
   • 邊沿觸（chù）發：捕獲信號上升沿或下降沿（yán），例如I2C的SCL上升沿。
   • 電（diàn）平觸發：監測信號達（dá）到特定電壓閾值，例如USB的VBUS>4.5V。
2. 協議字段觸發
   • 基於協（xié）議包頭或特定字段觸發，例如：
     • USB的PID字段為DATA0（捕獲USB數據（jù）包）
     • PCIe的TLP包（bāo）類型為（wéi）Memory Read Request
3. 多級觸發（fā）
   • 設置（zhì）主觸發和次（cì）觸發，例如：
     • 主觸發：I2C > Start Condition（捕獲I2C起（qǐ）始條件）
     • 次觸（chù）發：I2C > Address = 0x50（捕獲設備地址為0x50的I2C通信）
     • 觸發模式：設（shè）置為AND（需同時（shí）滿足條件）。
4. 序列觸發
   • 捕獲按特定順序發生的事件，例如：
     • PCIe的Memory Read Request後跟隨Completion（觸發條件設置為Sequence > TLP1 = MRd, TLP2 = CplD）。

四、解碼與分析規則：深度解析協議行為

1. 自定義協議解碼
   • 對私有協議（如自定義傳（chuán）感器通信（xìn））定義幀結構，包括起（qǐ）始位、數（shù）據位、校（xiào）驗位等。
2. 錯誤標記與統計（jì）
   • 啟用協議錯誤（wù）檢測（如CRC校驗失敗、幀長度錯誤），並在波形上標記錯誤位置。例如：
     • USB 3.2數據包若CRC5校驗失（shī）敗，分（fèn）析儀會在包尾顯示紅色（sè）錯誤標誌。
3. 多協議關聯分析
   • 同（tóng）步顯示不同協議的時間關係，例如（rú）USB事務與I2C配置命令的時序。

五、存儲與導出規則：靈活管理（lǐ）數據（jù）

1. 分段存儲
   • 將存儲空間（jiān）劃分為多個段（如每段1MB），按觸發事件（jiàn）循環覆蓋，避免單次事件占用（yòng）全部存儲。
   • 配置：在分析儀菜單中選擇Storage > Segmented，設置段數（shù）（如1024段）和段大小（如1MB）。
2. 自動報告生成
   • 生成包含協議統計信息（xī）（如包數量、錯誤（wù）率、吞吐量）的PDF報告。例如：
     • Teledyne LeCroy Advisor T3的Report Generator功能可自動生成USB協議性能報告，包含帶寬利用率、事務延遲等關鍵（jiàn）指標。
3. 數據導出格式
   • 支持導出為CSV、TXT、MAT（MATLAB）等格式，便於後續分析。