Tshark - 将数据包信息从pcap导出到cvs

Posted 2021-04-02

我试图通过使用Tshark以编程方式捕获数据包流。我使用的简化终端命令是：

tshark -i 2 -w output.pcap

这非常简单，但我需要获取一个.csv文件，以便轻松分析捕获的信息。通过在Wireshark中打开.pcap文件并将其导出为.csv，我得到的文件结构如下：

"No.","Time","Source","Destination","Protocol","Length","Info"

但是，我需要以自动的方式做到这一点。所以我尝试使用命令：

tshark -r output.pcap -T fields -e frame.number -e ip.src -e ip.dst -e frame.len -e frame.time -e frame.time_relative -E header=y -E separator=, > output.csv

但我无法找到手动导出.csv时获得的"Info"字段的名称。有任何想法吗？谢谢！

答案

是的，如果您使用最新的开发版本，则可以。 见Wireshark Bug 2892。 下载Development Release Version 1.9.0。 使用以下命令： $ tshark -i 2 -T fields -e frame.time -e col.Info 产量 2013年2月28日20：58：24.604635000谁有10.10.128.203？告诉10.10.128.1 2013年2月28日20：58：24.678963000谁有10.10.128.163？告诉10.10.128.1

注意 -e col.Info， 使用资本我

另一答案

如何直接将数据包导出到csv文件。

sudo tshark > fileName.csv