【发布时间】:2013-02-13 06:39:52
【问题描述】:
我正在尝试使用Tshark 以编程方式捕获数据包流。我使用的简化终端命令是:
tshark -i 2 -w output.pcap
这很简单,但我需要获取一个.csv 文件,以便轻松分析捕获的信息。
通过在 Wireshark 中打开 .pcap 文件并将其导出为 .csv,我得到的是一个结构如下的文件:
"No.","Time","Source","Destination","Protocol","Length","Info"
但是,我需要以自动方式执行此操作。所以我尝试使用命令:
tshark -r output.pcap -T fields -e frame.number -e ip.src -e ip.dst -e frame.len -e frame.time -e frame.time_relative -E header=y -E separator=, > output.csv
但我无法在任何地方找到手动导出 .csv 时获得的 "Info" 字段的名称。
有任何想法吗?谢谢!
【问题讨论】:
-
Info 字段没有名称,因为它不是 ip.src、frame.time 等可过滤字段。您可以在 Display Filter Reference 中找到所有显示过滤器的概述。
-
我昨天浏览了整个列表,我担心我找不到它,因为信息字段不是可过滤的实体。但是当我手动将 .pcap 导出到 .csv 时,Info 条目就在那里,所以我必须有一种方法可以使用终端命令来选择它。