tshark die Ausgabe aller Felder?

Ist es möglich, sich tshark Ausgang jedes Feld (im Paket) mit der -T fields option, oder ähnliches?

z.B. Für jedes Feld in der Paket - /Umbau, würde ich gerne so etwas wie dieses:

eth.src:f2:3c:91:96:fd:09,ip.src:1.2.3.4,tcp.dst_port:80,http.request.uri:/index.html

(Das Komma ersetzt werden könnte, mit einem \xff zu machen, analysieren besser, wenn die Werte Kommas enthalten.)

Ich weiß, es ist die -e - option, aber es scheint, dass ich haben, um in jedes einzelne Feld in der Befehlszeile. Auf top von, dass nur ein kleiner Teil der Felder in jedem Paket, das für eine Menge von Daten zu analysieren.

Ich derzeit planen tshark -V option und analysieren, aber idealerweise würde ich gerne mehr Maschine-Stil Begriffe wie http.request.uri anstelle von "human-readable" z.B.:

Hypertext Transfer Protocol
    GET /main.php HTTP/1.1\r\n
        [Expert Info (Chat/Sequence): GET /main.php HTTP/1.1\r\n]
            [Message: GET /main.php HTTP/1.1\r\n]
            [Severity level: Chat]
            [Group: Sequence]
        Request Method: GET
        Request URI: /main.php

InformationsquelleAutor Gerald Kaszuba | 2013-03-06

  1. 9

    Gerade gestolpert:

    tshark -T pdml

    das ist genau das, was ich brauche:

    <packet>
  <proto name="geninfo" pos="0" showname="General information" size="173">
    <field name="num" pos="0" show="323" showname="Number" value="143" size="173"/>
    <field name="len" pos="0" show="173" showname="Frame Length" value="ad" size="173"/>
    <field name="caplen" pos="0" show="173" showname="Captured Length" value="ad" size="173"/>
    <field name="timestamp" pos="0" show="Aug  7, 2011 16:16:13.579504000 EST" showname="Captured Time" value="1312697773.579504000" size="173"/>
  </proto>
  <proto name="frame" showname="Frame 323: 173 bytes on wire (1384 bits), 173 bytes captured (1384 bits)" size="173" pos="0">
    <field name="frame.time" showname="Arrival Time: Aug  7, 2011 16:16:13.579504000 EST" size="0" pos="0" show="Aug  7, 2011 16:16:13.579504000"/>
    ... etc.

    Es umfasst die Wireshark-filter name, sowie alle Felder, die im Paket enthalten sind.

    Update: Das ist ziemlich langsam, und Hacker tshark.c so -V druckt die abbrev statt der name im header_field_info *hfinfo; funktioniert der trick auch. Ich sollte wohl dazu beitragen das eine option, wenn ich die chance bekomme.

    wie hack bis tshark.c? Können u-Gilde oder Beispiel für mich? Dank

    InformationsquelleAutor Gerald Kaszuba

Schreibe einen Kommentar