分包说明：关于现场问题分析，一般都是通过日志，这个属于程序中加的打印，或存数据库，或者存文本形式，这种一般比较符合程序逻辑；还有一种就是涉及到网络通信方面的，需要通过抓包来分析其中的通信过程；下面主要是说明通过wireshark来抓包分包过程；

1.使用工具：wireshark工具提供的editcap分包软件：

https://blog.csdn.net/qq_43316775/article/details/111686607

2.具体抓包策略：通过包数来截取，通过时间来截取：

https://www.likecs.com/show-307491599.html

前提：需要用wireshark将源包抓好，如果在现场使用，考虑到自动化抓包，自动化分包，指定时间段自动删除的情况，还需要有个工具来完成上述工作，人为的话，效率太低，不适用实际工程应用！

3.具体操作：

源网络包：

注：快捷进入所在目录的cmd：

按时间分包：

将20230217按时间30秒进行抓包：

=》

按时间60s分成了5个包，每个包都是时长60s：

按包数分包：

=》

子包就是由总包按1000个包数分为多个子包，如上图！

补充：

补充1：合并多个子包为一个大包，可以使用mergecap

https://www.cnblogs.com/Higgerw/p/16402180.html

mergecap -a -w output.pcap input.pcap input2.pcap

补充2：如果只想抓大包中某个时间段的包，可以使用editcap，并结合-A和-B选项：

https://www.cnblogs.com/Higgerw/p/16402180.html

editcap -A '2014-12-10 10:11:01' -B '2014-12-10 10:21:01' input.pcap output.pcap

补充3：也可以通过wireshark工具，直接截取指定想要的包范围：

https://www.likecs.com/show-204164518.html

点击菜单栏的 File-> Export Specified Packets