使用以下命令需要进行哪些修改才能在tshark中将frame.time作为纪元?
tshark -T fields -n -r btle.pcap -E separator=, -e frame.time -e btle_rf.access_address_offenses -e btle_rf.channel -e btle_rf.flags -e btle_rf.flags.access_address_offenses_valid -e btle_rf.flags.channel_aliased -e btle_rf.flags.crc_checked -e btle_rf.flags.crc_valid -e btle_rf.flags.decrypted -e btle_rf.flags.dewhitened -e btle_rf.flags.mic_checked -e btle_rf.flags.mic_valid -e btle_rf.flags.noise_dbm_valid -e btle_rf.flags.reference_access_address_valid -e btle_rf.flags.rfu.1 -e btle_rf.flags.rfu.2 -e btle_rf.flags.signal_dbm_valid -e btle_rf.noise_dbm -e btle_rf.reference_access_address -e btle_rf.signal_dbm -e btle_rf.signed_byte_unused -e btle_rf.unsigned_byte_unused -e btle_rf.word_unused>btle.csv
答案 0 :(得分:0)
只要您运行Wireshark 1.4.0或更高版本,就可以尝试将-e frame.time更改为-e frame.time_epoch。如果您正在运行旧版本的Wireshark,那么我可能会建议升级到更新版本。
使用Wireshark的最新稳定版本(撰写本文时为2.2.7),所有帧过滤器均记录在 View - >中。内部 - >支持的协议 - >框架 - > ... ,您也可以随时参考在线Display Filter Reference页面。