Você precisa diferenciar entre filtros de captura e filtros de exibição. A sintaxe que você está mostrando lá é um filtro de exibição Wireshark. Os filtros de exibição são usados para filtrar o tráfego da exibição, mas não são usados para filtrar o tráfego durante a captura. Você pode aprender mais sobre filtros de exibição do Wireshark no wiki do Wireshark .
Se você estiver fazendo uma captura a longo prazo e quiser limitar o tamanho de seus arquivos de captura, provavelmente desejará usar um filtro de captura. Os filtros de captura do Wireshark usam a sintaxe do filtro tcpdump, então um artigo sobre os filtros do tcpdump irá ajudá-lo.
Para capturar somente tráfego HTTP de / para o host 10.0.0.1, por exemplo, você pode usar o filtro de captura host 10.0.0.1 and tcp and port 80 . Se você quisesse incluir o tráfego HTTPS (porta TCP 443), você poderia modificá-lo para ler host 10.0.0.1 and tcp and (port 80 or port 443) .
Para que um filtro de exibição faça o mesmo com HTTP, você só verá ip.addr == 10.0.0.1 && tcp.port == 80 . Tanto para HTTP quanto para HTTPS, você estaria vendo ip.addr == 10.0.0.1 && (tcp.port == 80 || tcp.port == 443) .