将 Pcap 文件转换为 CSV 文件,同时默认保留 pcap 中定义的所有 features/fields
Converting Pcap file to CSV file while defautly keeping all features/fields defined in pcap
我一直在寻找可以将 PCAP 文件转换为 CSV 格式的库,同时保留 pcap 文件中定义的所有详细信息,而无需明确定义我想在 CSV 格式中包含哪些 features/fields。
我已经测试过 Wireshark、tshark 和 tcpdump 等工具,但我认为对于所有这些工具,我都必须手动指定要包含在我的数据中的 features/columns 列表。有没有一种方法可以将 pcap 文件转换为 csv 文件并默认保留所有 pcap 详细信息,而无需手动列出要包含在 csv 中的所有功能?
编辑以添加代码示例:
$ tshark -r traffic.pcap > traffic.csv
$ tshark -r traffic.pcap -T fields -e ip.src -E separator=, \
-E occurrence=f > traffic.csv
在任何情况下,traffic.csv 仅包含跟踪的一般信息(例如,编号、时间、来源、目的地、长度、协议、信息),不包含任何数据包详细信息。有没有办法我也可以在 csv 文件中获得每个数据包的详细信息?
不胜感激。
第一个不起作用,因为你没有告诉它写任何看起来像 CSV 的东西;它将以供人们阅读的形式打印列。
第二个 确实 有效,但您必须使用 -e
标志明确指定您想要的特定字段;你不能只得到 "all fields"。引用我对同一问题的回答,在 Wireshark 问答网站上提出:
不清楚所有字段的 CSV 概念是否定义明确。
CSV 文件的一行只是一个以逗号分隔的值序列;没有标签来指示值是什么值 of。包含数据包中所有字段值的 CSV 行只是一系列值,没有指示这些值表示什么 - 而且并非所有行都具有相同数量的值。
如果您将第一行用作 table 字段名称,要解决该问题,则需要第一行具有文件数据包中出现的每个字段的名称,并且后续行中的元素可能为空(如果有问题的馈送不在与该行对应的数据包中)。它可能 也 要求字段名称可能 在第一行出现 多次,以处理 超过 的数据包一个字段的一个实例。
目前 Wireshark 中没有代码可以做到这一点。
我一直在寻找可以将 PCAP 文件转换为 CSV 格式的库,同时保留 pcap 文件中定义的所有详细信息,而无需明确定义我想在 CSV 格式中包含哪些 features/fields。
我已经测试过 Wireshark、tshark 和 tcpdump 等工具,但我认为对于所有这些工具,我都必须手动指定要包含在我的数据中的 features/columns 列表。有没有一种方法可以将 pcap 文件转换为 csv 文件并默认保留所有 pcap 详细信息,而无需手动列出要包含在 csv 中的所有功能?
编辑以添加代码示例:
$ tshark -r traffic.pcap > traffic.csv
$ tshark -r traffic.pcap -T fields -e ip.src -E separator=, \
-E occurrence=f > traffic.csv
在任何情况下,traffic.csv 仅包含跟踪的一般信息(例如,编号、时间、来源、目的地、长度、协议、信息),不包含任何数据包详细信息。有没有办法我也可以在 csv 文件中获得每个数据包的详细信息?
不胜感激。
第一个不起作用,因为你没有告诉它写任何看起来像 CSV 的东西;它将以供人们阅读的形式打印列。
第二个 确实 有效,但您必须使用 -e
标志明确指定您想要的特定字段;你不能只得到 "all fields"。引用我对同一问题的回答,在 Wireshark 问答网站上提出:
不清楚所有字段的 CSV 概念是否定义明确。
CSV 文件的一行只是一个以逗号分隔的值序列;没有标签来指示值是什么值 of。包含数据包中所有字段值的 CSV 行只是一系列值,没有指示这些值表示什么 - 而且并非所有行都具有相同数量的值。
如果您将第一行用作 table 字段名称,要解决该问题,则需要第一行具有文件数据包中出现的每个字段的名称,并且后续行中的元素可能为空(如果有问题的馈送不在与该行对应的数据包中)。它可能 也 要求字段名称可能 在第一行出现 多次,以处理 超过 的数据包一个字段的一个实例。
目前 Wireshark 中没有代码可以做到这一点。