tshark 處理pcap檔案的參數說明
用tshark比慢慢用wireshark來的快多啦 tshark -r 檔案來源 -Y "要濾出的封包filter" -T fields -e 擷取的欄位1 -e 擷取的欄位2 -e 擷取的欄位3 ......(可視需要增加) -E header=n (n代表擷取出來的檔案不要有標題列, y的話就是要) -E separator=, (以","為分隔符號, /t 是tab, /s 是空白, 或是使用任意字元) -E quote=n (每個欄位資料不要用符號框起來, d/s/n 分別為 雙引號/單引號/不要用符號) -E occurrence=f (顯示該欄位的哪個值, f/l/a = 第一個/最後一個/全部) 範例 tshark -r C:\Users\user\Desktop\123.pcapng -Y "ip.src == 192.168.1.10" -T fields -e frame.time_relative -e ip.src -e ip.dst -e ip.proto -e tcp.srcport -e tcp.dstport -e frame.len -E header=n -E separator=, -E quote=n -E occurrence=f 所有參數說明: http://www.wireshark.org/docs/man-pages/tshark.html 有時候有的欄位可能會在不同版本下的wireshark可能會抓不到 如果發現想抓的欄位濾不出來的話 可以試試看其他的版本(ex. 使用Development Release才可以濾到wireshark的info那一欄)
