将 wireshark 过滤器符号转换为 tshark 过滤器符号
Convert wireshark filter notation to tshark filter notation
我想用 tshark(linux,命令行)过滤 pcap 文件。
我的过滤器在 wireshark @ windows 中的表示法是:
frame.time >= "2017-07-11 13:37:07" && frame.time <= "2017-07-11 13:37:11"
那么 linux 中 tshark 的正确表示法是什么?
经过多次尝试,我还没有找到合适的解决方案。
提前致谢!
您可以使用 -Y 选项。
-Y
Cause the specified filter (which uses the syntax of read/display filters, rather than that of capture filters) to be applied before printing a decoded form of packets or writing packets to a file.
因为bash, you have also to escape the display filter with single quotes:
tshark -Y 'frame.time >= "2017-07-11 13:37:07" && frame.time <= "2017-07-11 13:37:11"'
啊哈,现在我找到了问题的答案!!
替换 tshark 过滤器 "frame.time" 到 "frame.time_epoch",例如“2017-07-11 13:37:10”到“1499773030.999955000”会导致数据包被过滤掉。 :)))
我想用 tshark(linux,命令行)过滤 pcap 文件。
我的过滤器在 wireshark @ windows 中的表示法是:
frame.time >= "2017-07-11 13:37:07" && frame.time <= "2017-07-11 13:37:11"
那么 linux 中 tshark 的正确表示法是什么?
经过多次尝试,我还没有找到合适的解决方案。
提前致谢!
您可以使用 -Y 选项。
-Y
Cause the specified filter (which uses the syntax of read/display filters, rather than that of capture filters) to be applied before printing a decoded form of packets or writing packets to a file.
因为bash, you have also to escape the display filter with single quotes:
tshark -Y 'frame.time >= "2017-07-11 13:37:07" && frame.time <= "2017-07-11 13:37:11"'
啊哈,现在我找到了问题的答案!!
替换 tshark 过滤器 "frame.time" 到 "frame.time_epoch",例如“2017-07-11 13:37:10”到“1499773030.999955000”会导致数据包被过滤掉。 :)))