如何向 Tshark 的输出添加额外的列(同时保留默认列)?
How to add an extra column to Tshark's output (while keeping the default ones)?
我想添加一个 Tshark 列,告诉我已捕获哪种类型的 ICMP 数据包。这将是以下内容:icmp.type
虽然我仍然需要默认列,但如何让 Tshark 也显示这一列?
我已经看到使用 -T 字段和 -e 的选项,但所有默认列都被排除在外。
您可以添加默认列并使用例如:
tshark -i 1 -T fields -e frame.number -e frame.time -e eth.src -e eth.dst -e frame.protocols -e _ws.col.Protocol -e _ws.col.Info -e icmp.type -E header=y > output.csv
有关详细信息,请参阅 tshark -h 或 man-page。
如果你想在默认的摘要输出中添加一些东西,你也可以使用:
-z proto,colinfo,filter,field
例如:
-z proto,colinfo,tcp.seq,tcp.seq
将显示:
1 2018-10-10 10:39:54 192.168.0.10 -> 192.168.0.1 SSH 198 Encrypted response packet len=132 tcp.seq == 1
我想添加一个 Tshark 列,告诉我已捕获哪种类型的 ICMP 数据包。这将是以下内容:icmp.type
虽然我仍然需要默认列,但如何让 Tshark 也显示这一列?
我已经看到使用 -T 字段和 -e 的选项,但所有默认列都被排除在外。
您可以添加默认列并使用例如:
tshark -i 1 -T fields -e frame.number -e frame.time -e eth.src -e eth.dst -e frame.protocols -e _ws.col.Protocol -e _ws.col.Info -e icmp.type -E header=y > output.csv
有关详细信息,请参阅 tshark -h 或 man-page。
如果你想在默认的摘要输出中添加一些东西,你也可以使用:
-z proto,colinfo,filter,field
例如:
-z proto,colinfo,tcp.seq,tcp.seq
将显示:
1 2018-10-10 10:39:54 192.168.0.10 -> 192.168.0.1 SSH 198 Encrypted response packet len=132 tcp.seq == 1