tshark提供-R和-Y过滤器,阅读过滤器-R和显示过滤器-Y之间的区别是什么。我一直在使用-Y选项应用过滤器来获取日志的子集,同时将它们转换为pdml(xml)以供进一步处理。
tshark -r source.pcap -Y "(s1ap.procedureCode == 13 && nas_eps.nas_msg_emm_type == 0x5e )" -T pdml > filtered_xml.xml
这适用于Windows版本。但是-Y是linux build的无效选项。
mymachine{66}$ tshark -v
TShark 1.8.10 (SVN Rev Unknown from unknown)
-Y和-R过滤器选项之间的区别是什么?-Y选项,可以使用的等价物是什么?来自Windows上的tshark -h
-R <read filter> packet Read filter in Wireshark display filter syntax
-Y <display filter> packet displaY filter in Wireshark display filter
答案 0 :(得分:1)
最近出现了类似的问题,因此您可能希望阅读我对this问题的回答。 -Y选项在Wireshark 1.10.0之前无法使用,因此如果您希望能够使用-Y,则需要在Linux平台上升级您的Wireshark版本。