是tshark的新手。我想使用wireshark
捕获一些ipp数据对于那个使用以下tshark终端的提交
tshark -i 3 -a duration:20 -Y "ipp contains 02:00:00" -T pdml > gggggg.xml
在上面的命令中,设置持续时间为20秒,然后tshark执行将自动停止并创建一个xml文件
工作正常
但是在某些情况下,获取'ipp'数据会有延迟,并且在20秒后,tashark会停止播放。但是这无法捕获数据.20秒后会退出。当我增加时间延迟时,我会将完整数据作为xml文件。我正在寻找其他选项,例如设置文件大小以及文件大小何时达到特定kb停止tshark。为此我将tshark命令更改为
tshark -i 3 -Y "ipp contains 02:00:00" -b filesize:100 -b files:1 -l -w some.txt -T pdml > gggggg.xml
我收到错误
tshark: Display filters aren't supported when capturing and saving the captured packets.
如何创建一个xml文件,当文件大小达到特定时,Kbs会停止执行tshark.also我需要使用过滤器类型为"ipp contains 02:00:00"(它只会将ipp数据包输出为xml)
答案 0 :(得分:2)
在Wireshark / TShark中,有两种语法不同的过滤器:capture filters和display filters。根据您的情况,您可以设置一个捕获过滤器,仅保留转发到端口631(IPP)的TCP或UDP数据包:
dst port 631
要限制捕获文件的大小,man page说:
-a<捕获自动停止条件>
指定一个标准,指定TShark何时停止写入捕获文件。标准是形式测试:价值, 哪里 测试是以下之一:
filesize:value在达到值kB的大小后停止写入捕获文件。
因此,对于最大文件大小为1Mb,xml输出和目标端口631(IPP)上的捕获过滤器,您的命令将如下所示:
tshark -i eth0 -f "dst port 631" -a filesize:1024 -T pdml -w ipp.xml