ダウンロード

ダウンロードは公式サイトや窓の社で出来ます。
公式HP https://www.wireshark.org/
左側のDwonlode→自分のPCにマッチしたインストーラをクリックしてDLです。
本ブログではWindows 64bitを元に解説します。

インストール

ダウンロードしたファイルをダブルクリックして実行します。最初の画面は「Next」をクリック。

ライセンス同意画面が出るので、「I Agreee」をクリック。

どのソフトウェアを入れるかの画面が出ます。みんな使えるのでデフォルトのままNextをクリック。

ショートカットの置き場などを選択する画面が出ます。
こだわりが無ければそのままデフォルトのまま「Next」をクリックで良いです。中身は以下の通りです。
「Wireshark Start Menu Item」 左下のWindowsマーククリックした時に表示する。
「Wireshark Desktop Icon」 デスクトップに表示する。
「Wireshark Quick Launch Icon」 タスクバーに常に表示する。
※Legacyと付いてる項目は旧バージョンのWireshark画面で起動するためのアイコンを追加するかどうかです。

「Associate trace file extensions to Wireshark」表示されてる拡張子のファイルをWiresharkで起動する。基本はチェックしたまま。

インストール先を決めます。意図的に変更したい場合以外はデフォルトのまま「Next」をクリック。

WinPcapというソフトのインストール確認画面が出ます。必須のためチェックしたまま「Next」をクリック。

USBPcapというソフトのインストール確認画面が出ます。USBデータをキャプチャした場合はチェックします。
チェックせず「Install」をクリックすると、ファイルをコピーする画面→以下の画面が出ます。

WinPcapのインストール画面です。「Next」をクリック。

ライセンス同意画面が出るので、「I Agreee」をクリック。

何も考えず「Install」をクリック。
ファイルをコピーする画面→以下の画面が出ます。

インストール終了画面。「Next」をクリック。

「Finish」をクリック。これでインストールは完了！お疲れ様でした。

キャプチャ実行

デスクトップやスタートメニューに出来たWiresharkのアイコンをクリックして起動するとこの画面が表示されます。
画面中央にインターフェースが出てくるので、採取したいインターフェースをダブルクリックすることでキャプチャを実行できます。
※インターフェース名の横の波線は今の通信量が出てます。複数インターフェースがあってどれが通信してるか分からないときは参考にしてください。

キャプチャ画面の見方

キャプチャを開始すると、この画面に変わります。

赤枠部分は実際に通信が起きてるパケットがずらーーっと並びます。一番確認する項目ですね。

青枠部分は上部で選択したパケットの詳細が表示されます。

緑枠部分は同じく選択したパケットを16進数で表示します。解析する時もここを見ることはあまりないかな…。

キャプチャ停止

キャプチャの停止はメニューバーの「キャプチャ」→「ストップ」をクリック、または左上の赤い四角をクリックすると停止できます。

キャプチャ結果保存

キャプチャデータの保存は「ファイル」→「...として保存」を選択することで出来ます。

キャプチャ結果出力

キャプチャした結果を別ファイルに出力できます。ぼくはCSV出力→Excelにまとめることが多いです。
「ファイル」→「エキスパートパケット解析」→「CSVとして」→保存先とファイル名.csvとして「保存」をクリック。

表示フィルタ

表示フィルタとは、キャプチャ実行後、表示されるキャプチャを特定のパケットに絞る機能です。
画面上部に「表示フィルタを適用します・・・」と表示されている枠にフィルタの構文を入力します。

構文の間に以下を追記することで、条件を複数に出来ます。
・「&&」または「and」　＝　「～～かつ～～」
・「||」または「or」　 ＝　「～～または～～」

キャプチャフィルタ

キャプチャフィルタは、特定のパケットしか採取したい場合に利用するフィルタです。
パケット自体の量が抑えられるため、データのサイズ量も減り、検索・解析がしやすくなります。
ある程度見たいパケットの条件（時間、IP等)が決まっている場合にお勧めです。

キャプチャフィルタは初期画面か、「キャプチャ」→「オプション」→「入力」画面の「キャプチャフィルタを入力…」に構文を入力します。
キャプチャフィルタの構文は表示フィルタと異なります。(&&や||は表示フィルタと同様に使えます)

分割保存

トラブルシュートでキャプチャを実行するけど、いつトラブルが発生するかわからない。そんな時はトラブル発生を待ったり、作業をしたりする間キャプチャを実行しっぱなしにする、なんてことがよくあります。
そうすると、キャプチャしたデータ量が多くなりファイルを開くのに時間がかかったり、PCによってはクラッシュしたりします。
それを防ぐために、Wiresharkでは規定の容量や時間に達したとき、自動的にファイルを分割して保存する機能があります。

分割ルールを設定するには、まず「キャプチャ」→「オプション」→「出力」を選びます。

出力形式はpcapを選択します。
※pcap-ngはまだ浸透していない様子…。詳しく書いてる記事がありましたので参考までにどうぞ！
http://www.slideshare.net/yagishinnosuke/pcapng

「永続的なファイルへキャプチャ」にチェックを入れ、ファイル欄に保存先のパスとファイル名を入力します。
この際、ファイル名に必ず「.pcap」をつけてください。つけないと拡張子無しで保存されます。
※付け忘れた時の対処法も後述してますが、面倒なので！

「...後に自動的に新ファイルを作成」にチェックを入れ、どのタイミングでファイルを分割するか設定します。
図ではファイルサイズが1MBに達した場合、別のファイルを作成する設定です。

「指定したファイル数で最新ファイルを保存」にチェックを入れファイル数を選択すると、
指定したファイル数を超えるデータは古いファイルに上書きしてくれます。
なので例えば、規定ファイルサイズ10MB、ファイル数を10にすると、最大で10MB×10ファイルの保存となります。

結合

分割したけど一つのファイルとして表示させたい！
そんな時はpcapファイルを結合して1つのファイルにすることができます。

実はここまでの内容は他のサイトにも結構乗ってたりするんですが、結合に関しては情報が少なかった！
初心者向けの解説は無かったので是非参考にしてみてください。

なお、この機能は解説してきたWiresharkではなく、別のソフトを実行します。（Wiresharkインストール時にインストールされてますのでご心配なく）

まず、コマンドプロンプトを起動します。図では「左下Windowsマーク」→左下の枠に「cmd」と入力し実行します。

①「cd C:\work」に移動します。これはキャプチャデータが保存されているフォルダにパスになりますので、環境によって読み替えてください。
※保存されているパスが別ドライブの場合、コマンドが「cd/d」になります。例としては「cd/d D:\work」です。
②「"C:\Program Files\Wireshark\mergecap.exe" *.pcap -w test_PC01.pcap」と入力します。
「"C:\Program Files\Wireshark\mergecap.exe"」が先ほど説明した結合用の別のソフトです。
「*.pcap」は移動したパス配下のpcapファイル全てを指定しています。例えばこれが2つのファイルのみにしたい場合は「01.pcap 02.pcap」とスペースで分けてください。
結合元のファイルが全て記載できたら、「-w 保存ファイル名」を入力してください。「-w」が保存という意味のオプションになります。

というわけで、図の通り1つのファイルになりました！