我正在尝试使用Tshark以编程方式捕获数据包流。我正在使用的简化终端命令是:
tshark -i 2 -w output.pcap
这非常简单,但我需要获取.csv文件,以便轻松分析捕获的信息。
通过打开Wireshark中的.pcap文件并将其导出为.csv,我得到的文件结构如下:
"No.","Time","Source","Destination","Protocol","Length","Info"
但是,我需要以自动的方式做到这一点。所以我尝试使用命令:
tshark -r output.pcap -T fields -e frame.number -e ip.src -e ip.dst -e frame.len -e frame.time -e frame.time_relative -E header=y -E separator=, > output.csv
但我无法找到手动导出.csv时获得的"Info"字段的名称。
有任何想法吗?谢谢!
答案 0 :(得分:2)
是的,如果您使用最新的发布版本,则可以
见Wireshark Bug 2892。
下载Development Release Version 1.9.0。
使用以下命令:
$ tshark -i 2 -T fields -e frame.time -e col.Info
输出
2013年2月28日20:58:24.604635000谁有10.10.128.203?告诉10.10.128.1
2013年2月28日20:58:24.678963000谁有10.10.128.163?告诉10.10.128.1
请注意
-e col.Info,
使用资本I
答案 1 :(得分:0)
如何直接将数据包导出到csv文件。
sudo tshark > fileName.csv