上文介绍完wireshark软件菜单栏的Edit（一起学习Wireshark-1.1.1(安装及Edit功能），本次继续介绍菜单File。

1． 文件（File），主要功能为保存、导出、条件导出等。

主要来看一下：导出特定包（Export Specified packets）

1.1 压缩（compress）抓到数据包过大，先进行压缩再保存。

1.2 Captured/Displayed 抓取到的数据包或者展示出来的数据包进行保存。例如过滤tcp后，display的数量仅为TCP包：

1.3 选择的数据包（Selected），按住shift选择40-45,6个数据包，并选择selected packet导出保存为selected.pcapng

打开重新保存的selected.pcapng，如下图

1.4 标记（Marked Packets），现在抓到数据包标记8,18这2个报文，并且选择Marked Packets并且保存为mark.pcapng,如下图：

打开mark.pcapng，可以看到，只有我们mark的2个数据包。

1.5 首位标记间数据包（first to last marked packets），同样使用之前标记的8,18数据包，选择firest to last marked，保存为F-L.pcapng,

打开F-L.pcapng，可以看到内容为8-18之间的11个数据报文，

1.6 范围内（Rang）数据包，例如选择6-8的3个报文，并保存为rang.pcapng，

Rang.pcapng数据包内为之前6-8的3个报文，如下图

1.7 移除（remove），首先ignore 1425-1524之间的100条报文，选择remove，保存为remove.pcap，

打开remove.pcapng,会发现一共有1424个数据报文（比原报文少了100条），

2 视图（View），wireshark各个界面的展示参数设置。

2.1 主界面/过滤规则/状态栏，分别对应以下工具栏：

2.2 报文列表/报文结构/报文详情，如下图

2.3 时间格式化

时间format默认使用的scends since beginning of capture，也就是基于抓包开始的相对时间，也是系统默认的格式化方式。

上图截图，我选择了自上个数据包的相对时间，在基于上下数据包有相关性的环境下，比如tcp的交互，使用这种格式化方式，能清晰的看到每次交互的时间差，以此来定位故障。例如通过过滤tcp以及某个与抓包主机有tcp连接的，查看每次交互的时间间隔，来判断抖动、延时等，

2.4 名称解析，对应是否要展示L2-L3的名称解析：

2.5 配色方案，展示不同协议的颜色展示，可以通过自定义某些关注的协议，进行个性化的配置。点击View-Coloering Rules添加一条方案，例如添加mDNS，

本次就介绍的File和View的常用设置就这么多，后面我们继续介绍菜单功能。