我正在尝试从包含 HTTP 流量的 PCAP 中打印出各种字段。其中一列应该是 ISO 8601 格式的时间戳 (YYYY-MM-DD hhmmss)。
此外,如果有人拥有在 -e 下工作的完整字段列表,那就太棒了(例如,ip.src、frame.time 等)。
举个例子,我从几个角度开始:
tshark -r out.pcap -R "tcp.port==80" -o column.format:"Packet,%m,Time,%t,Info%i"
tshark -r out.pcap -R "tcp.port==80" -T fields -e frame.time
您是否尝试过以下操作:
tshark -r out.pcap -R "tcp.port==80" -o column.format:"Packet,%m,Time,%Yt,Info%i"
关键是使用%Yt而不是%t使用YYYY-MM-DD hhmmss.格式。如果您想要 UTC,请使用%Yut. 其他格式也可用。
注意:
在 Wireshark 提交r52627之前,列格式仅记录在源代码本身中(即,在epan/column.c 中);但是,在该修订之后,您可以运行tshark -G column-formats以查看它们。
(该版本目前仅在 Wireshark 的开发版本中可用。无论如何,您仍然可以使用源代码本身作为参考。如果您想下载开发版本,请访问Wireshark 下载页面。)
要回答您的第二个问题,即“如果有人拥有在 -e 下工作的完整字段列表,那就太好了”,您可以参考Wireshark 显示过滤器参考页面。基本上,可以使用任何命名字段。