Wireshark tshark -R 与 -Y 过滤器选项

Wireshark tshark -R vs -Y filter option

tshark提供-R-Y过滤器,读取过滤器-R和显示过滤器-Y有什么区别。我一直在使用 -Y 选项应用过滤器来获取日志的子集,同时将它们转换为 pdml (xml) 以供进一步处理。

tshark -r source.pcap -Y "(s1ap.procedureCode == 13 && nas_eps.nas_msg_emm_type == 0x5e )" -T pdml > filtered_xml.xml

这在 windows 构建上运行良好。但是 -Y 在 linux build.

上是一个无效选项
mymachine{66}$ tshark -v
TShark 1.8.10 (SVN Rev Unknown from unknown)

tshark -h 到 windows

-R <read filter>         packet Read filter in Wireshark display filter syntax

-Y <display filter>      packet displaY filter in Wireshark display filter

最近出现了类似的问题,所以你可能想阅读我对this question. The -Y option was not available until Wireshark 1.10.0的回答,所以如果你想能够使用-Y,你需要升级你的版本在您的 Linux 平台上使用 Wireshark。