1. Zuhause
  2. Frage und Antwort
  3. Gibt es eine Möglichkeit, Dateien mit Hilfe von Wiresharks Programmen zu exportieren?

Gibt es eine Möglichkeit, Dateien mit Hilfe von Wiresharks Programmen zu exportieren?

2010-03-09 6 views
8

Ich versuche, eine sich wiederholende manuelle Prozess zu automatisieren, für die ich Wireshark verwenden:Gibt es eine Möglichkeit, Dateien mit Hilfe von Wiresharks Programmen zu exportieren?

1) Legen Sie eine gegebene pcap-Datei

2)

3) Verwenden Sie die einen einfachen Filter für ein bestimmtes Protokoll Nehmen Exportdialogfeld zum Exportieren der angezeigten Pakete in die CSV-Datei

4) Verwenden Sie das Exportdialogfeld, um die angezeigten Pakete im XML-PDML-Format zu exportieren.

Dies ist mühsam und erfordert menschliche Beteiligung in der Mitte eines Prozesses, der größtenteils automatisiert ist (einschließlich der Analyse der Dateien, um Berichte zu erstellen).

Gibt es eine Möglichkeit, Wireshark zu automatisieren, oder greifen Sie irgendwie auf die zugrunde liegenden Bibliotheken zu, die für den Export verwendet werden?

UPDATE: Wie mehrere Leute hier angedeutet haben, ist TShark der richtige Weg. Die genaue Befehlszeile ich am Ende mit ist:

tshark -r MyDataFile.pcap -T pdml -R MyProtocol > MyOutputFile.xml\

ich dann ein Ereignis basierten XML-Parser (Pythons Expat) verwenden, um die erzeugten 2GB Datei

Quelle

2010-03-09 Uri

Antwort

6

Ich sah in der Abhängigkeitsliste von wireshark auf meinem Debian-System, und ich fand Tshark: Es ist die Befehlszeilenversion von wireshark.

Es scheint interessant, aber ich habe das Handbuch noch nicht gelesen, aber es ist sicher mehr Skript freundlich.

Auch ich werde auf diesem Thread bleiben und weitere Informationen posten, wenn ich anfangen werde, es zu benutzen.

Quelle

2010-03-09 20:36:29 Dacav

+0

Ok, es ist großartig. Sie können das gewünschte Feld extrahieren und sowohl pcap-Filterung als auch Wireshark-Anzeigefilterung bereitstellen. Die Ausgabe wird auf die Standardausgabe geschoben, daher können Sie sie einfach skripten. – Dacav

0

ich nicht immer habe zu analysieren versucht Wireshark zu automatisieren vor obwohl ich etwas ähnliches tun musste, was du beschreibst. Am Ende reduzierte ich die Handvoll menschlicher (und damit fehleranfälliger) Schritte auf einen Schritt, der automatisiert wurde.

Autohotkey ist meine Lösung für viele sich wiederholende GUI-basierte Aufgaben. Sie können sehr einfach ein Tastenanschlag-Wiedergabescript schreiben, das alle oben genannten Schritte ausführt. Sie müssen wahrscheinlich den Dateinamen für Sie automatisch erhöhen. Sie können auch Ihr anderes automatisiertes Werkzeug verwenden, um das Autohotkey-Skript mit einem Tastendruck zu starten.

Quelle

2010-03-09 19:56:24 Dave

1

Ich denke, was Sie tun sollten, ist in Tshark zu schauen. Das ist die Linux-Kommandozeilenversion, die genau das ermöglicht, wonach Sie fragen (vorausgesetzt, Sie haben Zugriff darauf). Und natürlich wird davon ausgegangen, dass es akzeptabel ist, tshark auszuführen und dann die Ausgaben manuell zu überprüfen.

Quelle

2010-03-09 20:28:53 MJB

+0

Lustig, dass ich einen Downvote zu diesem Thema bekam, da es ziemlich identisch mit der angenommenen Antwort ist, und es wurde 10 Minuten vor der angenommenen Antwort gepostet. Seltsam. – MJB

Verwandte Themen

 Verwandte Themen