Как добавить дополнительный столбец к выводу Tshark (сохраняя значения по умолчанию)?

Question

Как добавить дополнительный столбец к выводу Tshark (сохраняя значения по умолчанию)?

Я хотел бы добавить столбец Tshark, который сообщает мне, какой тип ICMP-пакета был перехвачен. Это будет следующим: icmp.type

Хотя мне все еще нужны столбцы по умолчанию, как я могу заставить Tshark также показать этот столбец?

Я уже видел опцию для работы с полями -T и -e, но тогда все столбцы по умолчанию опущены.

3

wireshark tshark

Источник

user3681436 16 май '15 в 15:24

2 ответа

Решение

Если вы хотите добавить что-то в сводный вывод по умолчанию, вы также можете использовать:

-z proto, colinfo, фильтр, поле

Например что-то вроде:

-z прото,colinfo,tcp.seq,tcp.seq

Покажет это:

1 2018-10-10 10:39:54 192.168.0.10 -> 192.168.0.1 SSH 198 Зашифрованный ответный пакет len=132 tcp.seq == 1

2

Источник

user341102 13 окт '18 в 07:10

Другие вопросы по тегам wireshark tshark

user684451 23 май '15 в 15:34 2015-05-23 15:34 · Accepted Answer · 2015-05-23 15:34

Вы можете добавить столбцы по умолчанию и использовать, например:

tshark -i 1 -T fields -e frame.number -e frame.time -e eth.src -e eth.dst -e frame.protocols -e _ws.col.Protocol -e _ws.col.Info -e icmp.type -E header=y > output.csv

Смотрите tshark -h или man-страницу для получения дополнительной информации.

5

Источник

user684451 23 май '15 в 15:34