我正在尝试从包含 HTTP 流量的 PCAP 中打印出各种字段。其中一列应该是 ISO 8601 格式的时间戳 (YYYY-MM-DD hhmmss)。
此外,如果有人拥有在 -e 下工作的完整字段列表,那就太棒了(例如,ip.src、frame.time 等)。
作为一个例子,我从几个角度开始:
tshark -r out.pcap -R "tcp.port==80" -o column.format:"Packet,%m,Time,%t,Info%i"
tshark -r out.pcap -R "tcp.port==80" -T fields -e frame.time
【问题讨论】:
标签: wireshark tshark time-format
您是否尝试过以下操作:
tshark -r out.pcap -R "tcp.port==80" -o column.format:"Packet,%m,Time,%Yt,Info%i"
这里的关键是使用%Yt 而不是%t,后者使用YYYY-MM-DD hhmmss. 格式。如果您想要 UTC,请使用 %Yut。其他格式也可用。
注意:
在 Wireshark 提交 r52627 之前,列格式仅记录在源代码本身中(即,在 epan/column.c 中);但是,在该版本之后,您可以运行 tshark -G column-formats 来查看它们。
(该版本目前仅在 Wireshark 的开发版本中可用。无论如何,您仍然可以使用源代码本身作为参考。如果您想下载开发版本,请访问 Wireshark download page。)
要回答您的第二个问题,即“如果有人有在 -e 下工作的完整字段列表,那就太好了”,您可以参考Wireshark display filter reference page。基本上,任何命名字段都可以使用。
【讨论】: