Further cleanup of Wireshark User Guide
[obnox/wireshark/wip.git] / docbook / wsug_src / WSUG_chapter_statistics.xml
1 <!-- WSUG Chapter Statistics -->
2 <!-- $Id$ -->
3
4 <chapter id="ChStatistics">
5   <title>Statistics</title>
6   <section id="ChStatIntroduction">
7   <title>Introduction</title>
8     <para>
9     Wireshark provides a wide range of network statistics. 
10     </para>
11     <para>
12         These statistics range
13         from general information about the loaded capture file (like the number of 
14         captured packets), to statistics about specific protocols 
15         (e.g. statistics about the number of HTTP requests and responses captured).
16         <itemizedlist>
17         <listitem>
18         <para>
19         General statistics:
20         </para>
21         <itemizedlist>
22         <listitem>
23         <para><command>Summary</command> about the capture file.</para>
24         </listitem>
25         <listitem>
26         <para><command>Protocol Hierarchy</command> of the captured packets.</para>
27         </listitem>
28         <listitem>
29         <para><command>Endpoints</command> e.g. traffic to and from an IP 
30         addresses.</para>
31         </listitem>
32         <listitem>
33         <para><command>Conversations</command> e.g. traffic between specific IP 
34         addresses.</para>
35         </listitem>
36         <listitem>
37         <para><command>IO Graphs</command> visualizing the number of packets (or 
38         similar) in time.</para>
39         </listitem>
40         </itemizedlist>
41         </listitem>
42         <listitem>
43         <para>
44         Protocol specific statistics:
45         </para>
46         <itemizedlist>
47         <listitem>
48         <para><command>Service Response Time</command> between request and response 
49         of some protocols.</para>
50         </listitem>
51         <listitem>
52         <para><command>Various other</command> protocol specific statistics.</para>
53         </listitem>
54         </itemizedlist>
55         </listitem>
56         </itemizedlist>
57         <note><title>Note!</title>
58         <para>
59         The protocol specific statistics requires detailed knowledge about the 
60         specific protocol. Unless you are familiar with that protocol, statistics 
61         about it will be pretty hard to understand.
62         </para>
63         </note>
64     </para>
65   </section>
66   
67   <section id="ChStatSummary">
68     <title>The "Summary" window</title>
69     <para>
70         General statistics about the current capture file.
71     </para>
72         <figure><title>The "Summary" window</title>
73           <graphic entityref="WiresharkStatsSummary" format="PNG"/>
74         </figure>
75         <itemizedlist>
76         <listitem>
77         <para><command>File</command> general information about the capture file.
78         </para>
79         </listitem>
80         <listitem>
81         <para><command>Time</command> the timestamps when the first and the 
82         last packet were capturing (and the time between them).</para>
83         </listitem>
84         <listitem>
85         <para><command>Capture</command> information from the time when the 
86         capture was done (only available if the packet data was captured from the 
87         network and not loaded from a file).</para>
88         </listitem>
89         <listitem>
90         <para><command>Display</command> some display related information.</para>
91         </listitem>
92         <listitem>
93         <para>
94         <command>Traffic</command> some statistics of the network traffic seen. 
95         If a display filter is set, you will see values in both columns. The 
96         values in the <command>Captured</command> column will remain the same as 
97         before, while the values in the <command>Displayed</command> column will 
98         reflect the values corresponding to the packets shown in the display.
99         </para>
100         </listitem>
101         </itemizedlist>
102   </section>
103   
104   <section id="ChStatHierarchy">
105     <title>The "Protocol Hierarchy" window</title>
106     <para>
107         The protocol hierarchy of the captured packets.
108         <figure><title>The "Protocol Hierarchy" window</title>
109           <graphic entityref="WiresharkStatsHierarchy" format="PNG"/>
110         </figure>
111         This is a tree of all the protocols in the capture. You can collapse or 
112         expand subtrees, by clicking on the plus / minus icons. By default, all
113         trees are expanded.
114         </para>
115         <para>
116         Each row contains the statistical values of one protocol.
117         </para>
118         <para>
119         The following columns containing the statistical values are available:
120         <itemizedlist>
121         <listitem>
122         <para><command>Protocol</command> this protocol's name</para>
123         </listitem>
124         <listitem>
125         <para><command>% Packets</command> the percentage of protocol packets, 
126         relative to all packets in the capture</para>
127         </listitem>
128         <listitem>
129         <para><command>Packets</command> the absolute number of packets of this 
130         protocol</para>
131         </listitem>
132         <listitem>
133         <para><command>Bytes</command> the absolute number of bytes of this 
134         protocol</para>
135         </listitem>
136         <listitem>
137         <para><command>MBit/s</command> the bandwidth of this protocol, relative 
138         to the capture time</para>
139         </listitem>
140         <listitem>
141         <para>
142         <command>End Packets</command> the absolute number of packets of this 
143         protocol (where this protocol were the highest protocol to decode)
144         </para>
145         </listitem>
146         <listitem>
147         <para>
148         <command>End Bytes</command> the absolute number of bytes of this protocol 
149         (where this protocol were the highest protocol to decode)
150         </para>
151         </listitem>
152         <listitem>
153         <para>
154         <command>End MBit/s</command> the bandwidth of this protocol, relative to 
155         the capture time (where this protocol were the highest protocol to decode)
156         </para>
157         </listitem>
158         </itemizedlist>
159         </para>
160         <note><title>Note!</title>
161         <para>
162         Packets will usually contain multiple protocols, so more than one protocol 
163         will be counted for each packet.
164         Example: In the screenshot IP has 99,17% and TCP 85,83% (which is together 
165         much more than 100%).
166         </para>
167         </note>
168         <note><title>Note!</title>
169         <para>
170         A single packet can contain the same protocol more than once. In this case, 
171         the protocol is counted more than once. For example: in some tunneling 
172         configurations the IP layer can appear twice.
173         </para>
174         </note>
175   </section>
176
177   <section id="ChStatEndpoints">
178     <title>Endpoints</title>
179     <para>
180         Statistics of the endpoints captured.
181         <tip><title>Tip!</title>
182         <para>
183         If you are looking for a feature other network tools call a <command>
184         hostlist</command>, here is the right place to look. The list of 
185         Ethernet or IP endpoints is usually what you're looking for.
186         </para>
187         </tip>
188     </para>
189         <section id="ChStatEndpointDefinition"><title>What is an Endpoint?</title>
190     <para>
191         A network endpoint is the logical endpoint of separate protocol traffic of 
192         a specific protocol layer. The endpoint statistics of Wireshark will take 
193         the following endpoints into account:
194     </para>
195         <itemizedlist>
196         <listitem>
197     <para>
198         <command>Ethernet</command> an Ethernet endpoint is identical to the 
199         Ethernet's MAC address.
200     </para>
201         </listitem>
202         <listitem>
203     <para>
204         <command>Fibre Channel</command> XXX - insert info here.
205     </para>
206         </listitem>
207         <listitem>
208     <para>
209         <command>FDDI</command> a FDDI endpoint is identical to the FDDI MAC 
210         address.
211     </para>
212         </listitem>
213         <listitem>
214     <para>
215         <command>IPv4</command> an IP endpoint is identical to its IP address.
216     </para>
217         </listitem>
218         <listitem>
219     <para>
220         <command>IPX</command> XXX - insert info here.
221     </para>
222         </listitem>
223         <listitem>
224     <para>
225         <command>TCP</command> a TCP endpoint is a combination of the IP address 
226         and the TCP port used, so different TCP ports on the same IP address are
227         different TCP endpoints.
228     </para>
229         </listitem>
230         <listitem>
231     <para>
232         <command>Token Ring</command> a Token Ring endpoint is identical to the 
233         Token Ring MAC address.
234     </para>
235         </listitem>
236         <listitem>
237     <para>
238         <command>UDP</command> a UDP endpoint is a combination of the IP address 
239         and the UDP port used, so different UDP ports on the same IP address are
240         different UDP endpoints.
241     </para>
242         </listitem>
243         </itemizedlist> 
244         <note><title>Broadcast / multicast endpoints</title>
245         <para>
246         Broadcast / multicast traffic will be shown separately as additional
247         endpoints. Of course, as these endpoints are virtual endpoints, the real 
248         traffic will be received by all (multicast: some) of the listed unicast 
249         endpoints.
250         </para>
251         </note>
252         </section>
253   <section id="ChStatEndpointsWindow">
254     <title>The "Endpoints" window</title>
255         <para>
256         This window shows statistics about the endpoints captured. 
257         </para>
258         <figure><title>The "Endpoints" window</title>
259           <graphic entityref="WiresharkStatsEndpoints" format="PNG"/>
260         </figure>
261         <para>
262         For each supported protocol, a tab is shown in this window.
263         The tab labels shows the number of endpoints captured (e.g. the 
264         tab label "Ethernet: 5" tells you that five ethernet endpoints have been 
265         captured). If no endpoints of a specific protocol were captured, the tab 
266         label will be 
267         grayed out (although the related page can still be selected).
268         </para>
269         <para>
270         Each row in the list shows the statistical values for exactly one endpoint.
271         </para>
272         <para>
273         <command>Name resolution</command> will be done if selected in the window 
274         and if it is active for the specific protocol layer (MAC layer for the 
275         selected Ethernet endpoints page). As you might have noticed, the first 
276         row has a name 
277         resolution of the first three bytes "Netgear", the second row's address was
278         resolved to an IP address (using ARP) and the third was resolved 
279         to a broadcast (unresolved this would still be: ff:ff:ff:ff:ff:ff), the last two 
280         Ethernet addresses remain unresolved.
281         </para>
282         <tip><title>Tip!</title>
283         <para>
284         This window will be updated frequently, so it will be useful, even if 
285         you open it before (or while) you are doing a live capture.
286         </para>
287         </tip>
288   </section>    
289   <section id="ChStatEndpointListWindow">
290     <title>The protocol specific "Endpoint List" windows</title>
291         <para>
292         Before the combined window described above was available, each of its 
293         pages were shown as separate windows. Even though the combined window is 
294         much more convenient to use, these separate windows are still 
295         available. The main reason is, they might process faster for 
296         very large capture files. However, as the functionality is exactly the 
297         same as in the combined window, they won't be discussed in detail here.
298         </para> 
299   </section>
300   </section>
301   
302   <section id="ChStatConversations">
303     <title>Conversations</title>
304     <para>
305         Statistics of the captured conversations. 
306     </para>
307         <section><title>What is a Conversation?</title>
308     <para>
309         A network conversation is the traffic between two specific endpoints. For 
310         example, an IP conversation is all the traffic between two IP addresses. 
311         The description of the known endpoint types can be found in 
312         <xref linkend="ChStatEndpointDefinition"/>.
313     </para>
314         </section>
315         <section id="ChStatConversationsWindow"><title>The "Conversations" window</title>
316     <para>
317         Beside the list content, the conversations window work the same way as the 
318         endpoint ones, see <xref linkend="ChStatEndpointsWindow"/> for a 
319         description how it works.
320         <figure><title>The "Conversations" window</title>
321           <graphic entityref="WiresharkStatsConversations" format="PNG"/>
322         </figure>
323     </para>
324         </section>
325         <section id="ChStatConversationListWindow">
326         <title>The protocol specific "Conversation List" windows</title>
327     <para>
328         Before the combined window described above was available, each of its 
329         pages were shown as separate windows. Even though the combined window is 
330         much more convenient to use, these separate windows are still 
331         available. The main reason is, they might process faster for 
332         very large capture files. However, as the functionality is exactly the 
333         same as in the combined window, they won't be discussed in detail here.
334     </para>
335         </section>
336   </section>
337
338   <section id="ChStatIOGraphs">
339     <title>The "IO Graphs" window</title>
340     <para>
341         User configurable graph of the captured network packets.
342     </para>
343     <para>
344         You can define up to five differently colored graphs.
345     </para>
346         
347         <figure><title>The "IO Graphs" window</title>
348           <graphic entityref="WiresharkStatsIOGraphs" format="PNG"/>
349         </figure>
350         
351         <para>
352         The user can configure the following things:
353         <itemizedlist>
354         <listitem>
355         <para><command>Graphs</command>
356         <itemizedlist>
357         <listitem>
358         <para>
359         <command>Graph 1-5</command> enable the graph 1-5 (only graph 1 is enabled 
360         by default)
361         </para>
362         </listitem>
363         <listitem>
364         <para>
365         <command>Color</command> the color of the graph (cannot be changed)
366         </para>
367         </listitem>
368         <listitem>
369         <para>
370         <command>Filter:</command> a display filter for this graph (only the 
371         packets that pass this filter will be taken into account for that graph)
372         </para>
373         </listitem>
374         <listitem>
375         <para>
376         <command>Style:</command> the style of the graph (Line/Impulse/FBar)
377         </para>
378         </listitem>
379         </itemizedlist> 
380         </para>
381         </listitem>
382         
383         <listitem>
384         <para><command>X Axis</command>
385         <itemizedlist>
386         <listitem>
387         <para>
388         <command>Tick interval</command> an interval in x direction lasts 
389         (10/1/0.1/0.01/0.001 seconds)
390         </para>
391         </listitem>
392         <listitem>
393         <para>
394         <command>Pixels per tick</command> use 10/5/2/1 pixels per tick interval
395         </para>
396         </listitem>
397         </itemizedlist>
398         </para>
399         </listitem>
400         
401         <listitem>
402         <para><command>Y Axis</command>
403         <itemizedlist>
404         <listitem>
405         <para>
406         <command>Unit</command> the unit for the y direction (Packets/Tick, 
407         Bytes/Tick, Advanced...)
408         </para>
409         </listitem>
410         <listitem>
411         <para>
412         <command>Scale</command> the scale for the y unit 
413         (10,20,50,100,200,500,...)
414         </para>
415         </listitem>
416         </itemizedlist> 
417         </para>
418         </listitem>
419         
420         </itemizedlist> 
421         XXX - describe the Advanced feature.
422         </para>
423   </section>
424   
425   <section id="ChStatSRT">
426     <title>Service Response Time</title>
427     <para>
428         The service response time is the time between a request and the 
429         corresponding response. This information is available for many protocols.
430     </para>
431     <para>
432         Service response time statistics are currently available for the following 
433         protocols:
434         <itemizedlist>  
435         <listitem>
436         <para><command>DCE-RPC</command></para>
437         </listitem>
438         <listitem>
439         <para><command>Fibre Channel</command></para>
440         </listitem>
441         <listitem>
442         <para><command>H.225 RAS</command></para>
443         </listitem>
444         <listitem>
445         <para><command>LDAP</command></para>
446         </listitem>
447         <listitem>
448         <para><command>MGCP</command></para>
449         </listitem>
450         <listitem>
451         <para><command>ONC-RPC</command></para>
452         </listitem>
453         <listitem>
454         <para><command>SMB</command></para>
455         </listitem>
456         </itemizedlist> 
457         As an example, the DCE-RPC service response time is described in more 
458         detail.
459         <note><title>Note!</title>
460         <para>
461         The other Service Response Time windows will work the same way (or only 
462         slightly different) compared to the following description.
463         </para>
464         </note>
465     </para>
466   <section id="ChStatSRTDceRpc">
467     <title>The "Service Response Time DCE-RPC" window</title>
468     <para>
469         The service response time of DCE-RPC is the time between the request and 
470         the corresponding response.
471     </para>
472     <para>
473         First of all, you have to select the DCE-RPC interface:
474     </para>
475         <figure><title>The "Compute DCE-RPC statistics" window</title>
476           <graphic entityref="WiresharkStatsSrtDcerpcFilter" format="PNG"/>
477         </figure>
478     <para>
479         You can optionally set a display filter, to reduce the amount of packets.
480     </para>
481         <figure><title>The "DCE-RPC Statistic for ..." window</title>
482           <graphic entityref="WiresharkStatsSrtDcerpc" format="PNG"/>
483         </figure>
484         <para>
485         Each row corresponds to a method of the interface selected (so the EPM 
486         interface in version 3 has 7 methods). For each 
487         method the number of calls, and the statistics of the SRT time is 
488         calculated.
489     </para>
490   </section>
491   </section>
492   
493   <section id="ChStatXXX">
494     <title>The protocol specific statistics windows</title>
495     <para>
496         The protocol specific statistics windows display detailed information 
497         of specific protocols and might be described in a later 
498         version of this document.
499     </para>
500     <para>
501         Some of these statistics are described at the 
502         <ulink url="&WiresharkWikiPage;/Statistics"/> pages.
503     </para>
504   </section>
505   
506 </chapter>
507 <!-- End of WSUG Chapter Statistics -->
508