※以下、メモ書き途中につき参考程度とすること※

取得時

• 取得パケットサイズを途中で切るようにする(150kくらい？)
• データが大きくなる場合は以下を考慮
  • ファイルを分割する(大きくても100MBくらいにしておいたほうがあとで調査が楽)
  • キャプチャ時、画面を自動スクロールさせない

解析時

• 時刻表示は"Time of Day"など、時刻表示にしておく(主に他システムlogとの突き合わせのため)
• TCPの場合、パケットリストパネルに以下を表示する
  • Windowサイズ
  • Seq番号
  • Ack番号
  • Length(Ethernet)

留意点

• シーケンス番号は相対値。実値を表示したい場合はPreferenceのProtocolのTCPから表示を変更する。
• 通常表示されてるLengthはフレームサイズなので(＝TCPセグメントサイズじゃない)、Seq番号計算するにはちゃんとセグメントサイズを見る必要がある。

おまけ

• WireSharkでとったログをpacketyzerで取り込むには"Modified tcpdump - libpcap"で保存する。