Wireshark tshark -R vs -Y过滤器选项

时间:2017-01-24 03:50:02

标签: wireshark tshark

tshark提供-R-Y过滤器,阅读过滤器-R和显示过滤器-Y之间的区别是什么。我一直在使用-Y选项应用过滤器来获取日志的子集,同时将它们转换为pdml(xml)以供进一步处理。

tshark -r source.pcap -Y "(s1ap.procedureCode == 13 && nas_eps.nas_msg_emm_type == 0x5e )" -T pdml > filtered_xml.xml

这适用于Windows版本。但是-Y是linux build的无效选项。

mymachine{66}$ tshark -v
TShark 1.8.10 (SVN Rev Unknown from unknown)
  • -Y-R过滤器选项之间的区别是什么?
  • 在linux版本中我没有看到-Y选项,可以使用的等价物是什么?

来自Windows上的tshark -h

-R <read filter>         packet Read filter in Wireshark display filter syntax

-Y <display filter>      packet displaY filter in Wireshark display filter

1 个答案:

答案 0 :(得分:1)

最近出现了类似的问题,因此您可能希望阅读我对this问题的回答。 -Y选项在Wireshark 1.10.0之前无法使用,因此如果您希望能够使用-Y,则需要在Linux平台上升级您的Wireshark版本。