我想知道是否有办法只在Wireshark中保存号码,时间,来源,目的地,长度字段?我不需要内容,我也想用纯文本。这可能吗?谢谢。
答案 0 :(得分:1)
如果这些是您在Wireshark中配置的唯一列,则在加载捕获文件后,您可以按如下方式实现此目的:File -> Export Packet Dissections -> as "Plain Text" file... ->,然后在数据包格式部分中,仅选择"数据包摘要行" (以及可选"包括列标题" 如果您愿意)并取消选择其他所有内容。选择文件名,然后点击"保存" 。
如果您显示了其他列,则可以先隐藏或删除它们,也可以创建一个单独的profile,只显示感兴趣的列。
您还可以使用Wireshark的命令行随附tshark来完成此操作。有几种方法可以做到这一点,因此请选择最适合您需求的方法。以下是一些例子:
使用指定的Wireshark列:(注意:-e _ws.col.No.无效)
tshark -r file.pcap -T fields -e frame.number -e _ws.col.Time -e _ws.col.Source -e _ws.col.Destination -e _ws.col.Length > file.txt
使用命名字段:(假设源列和目标列中的IPv4地址)
tshark -r file.pcap -T fields -e frame.number -e frame.time -e ip.src -e ip.dst -e frame.len > file.txt
依靠Wireshark配置的专栏:
tshark -r file.pcap > file.txt
依靠Wireshark为特定配置文件配置的列:
tshark -r file.pcap -C profilename > file.txt
使用列选项:(首先在Windows上,然后在* nix上)
tshark -r file.pcap -o "gui.column.format:\"No.\",\"%m\",\"Time\",\"%t\",\"Source\",\"%s\",\"Destination\",\"%d\",\"Length\",\"%L\"" > file.txt
tshark -r file.pcap -o 'gui.column.format:"No.","%m","Time","%t","Source","%s","Destination","%d","Length","%L"" > file.txt
(运行tshark -G column-formats以获取更多列选项。)