Question

我有一个文件pcap.pcap，我想用选项-T打印每个数据包的所有字段我的命令：tshark -r filepcap.pcap -T字段-e tcap.begin -e tcap.continue -e tcap.end -e tcap.tid -E分隔符=“ |”

但在控制台上显示每一行：

(begin|continue|end|tid)
1,1|||04:1e:4f:30,a1:04:07:a7
1|1||84:10:01:6f,04:1b:65:64
1|||03:fa:58:1a

我看到每行都有2层TCAP或CAMEL，并且无法映射其tid。

示例行：

1|1||84:10:01:6f,04:1b:65:64

id1 = 84：10：01：6f id2 = 04：1b：65：64 而且我无法以状态为开始或继续来映射它们（ID1或ID2）

如果可以，请帮助我。

Answer 1

如果您对tcap.tid字段的内容最感兴趣，则可以修改tshark的命令，以便仅显示存在该字段的那些数据包，也可以显示首先提示，而不是最后提示，例如：

tshark -r filepcap.pcap -Y "tcap.tid" -T fields -e tcap.tid -e tcap.begin -e tcap.continue -e tcap.end -E separator="|"