我想添加一个Tshark列,告诉我哪种类型的ICMP数据包已被捕获。这将是以下内容:icmp.type
虽然我仍然需要默认列,但我怎样才能让Tshark也展示这个?
我已经看过使用-T字段和-e的选项,但是所有默认列都被省略了。
答案 0 :(得分:3)
您可以添加默认列并使用例如:
tshark -i 1 -T fields -e frame.number -e frame.time -e eth.src -e eth.dst -e frame.protocols -e _ws.col.Protocol -e _ws.col.Info -e icmp.type -E header=y > output.csv
有关详细信息,请参阅tshark -h或man-page。
答案 1 :(得分:0)
如果要在默认的摘要输出中添加一些内容,也可以使用:
-z proto,colinfo,filter,field
例如:
-z proto,colinfo,tcp.seq,tcp.seq
将显示此内容:
1 2018-10-10 10:39:54 192.168.0.10-> 192.168.0.1 SSH 198加密的响应数据包len = 132 tcp.seq == 1