我想用tshark(linux,命令行)过滤pcap文件。
我在wireshark @ windows中使用过滤器的符号是:
$( "#AuditLogsList" ).accordion( "option", "classes.ui-accordion", "highlight" );
那么在linux中使用tshark的正确符号是什么?
经过多次试验,我还没有找到合适的解决方案。
提前致谢!
答案 0 :(得分:1)
您可以使用-Y选项。
-Y
导致在打印解码形式的数据包或将数据包写入文件之前应用指定的过滤器(使用读取/显示过滤器的语法,而不是捕获过滤器的语法)。
由于bash,您还必须使用single quotes转义显示过滤器:
tshark -Y 'frame.time >= "2017-07-11 13:37:07" && frame.time <= "2017-07-11 13:37:11"'
答案 1 :(得分:1)
啊,现在我找到了解决问题的方法!!
将tshark过滤器“frame.time”替换为“frame.time_epoch”,例如“2017-07-11 13:37:10”到“1499773030.999955000”会导致数据包被过滤掉。 :)))