TShark Feldname

Question

Hallo, wie unten gezeigt werden ausgegeben von TShark mit "tshark -i mon0"

0.000000 e4: 6e: d1: a4: 21: 3e -> Broadcast-802.11 251 Beacon-Rahmen, SN = 2145 , FN = 0, Flags = ....... C, BI = 100, SSID = AndroidAP 0,191876 8c: 65: a1: df: 2e: d2 -> Broadcast 802.11 98 Daten, SN = 2091, FN = 0, Flags = .p .... FC 0,368961 0c: 55: 2c: 7b: 25: b0 -> Broadcast 802.11 249 Leuchtrahmen, SN = 3120, FN = 0, Flags = ........ C, BI = 100, SSID = ASUS 5G 0,373837 Wisol_76: 51: 10 -> Broadcast 802.11 98 Sondenanforderung, SN = 646, FN = 0, Flags = ....... C, SSID = ASUS_5G 0,447529 Wisol_76: 51: 10 -> Broadcast 802.11 196 Probe Anfrage, SN = 649, FN = 0, Flags = ........ C, SS ID = ASUS_5G

Ich verwende die Feldfunktion "-T Felder", um das Feld auszugeben, das ich wollte "tshark -i mon0 -T Felder -e wlan.fc.type -e wlan.fc -e wlan .fc.type_subtype "

Allerdings würde ich die Feldleiste (, Daten Beacon Rahmen, Prüfanfrage) von der Standardausgabe von tshark erhalten möchte. Kann ich wissen, welchen Befehl ich verwenden soll? ?

Answer 1

Sie können die Option -o 'gui.column.format:...' verwenden, um die gewünschten Spalten anzugeben. Wenn Sie tshark -G column-formats ausführen, erhalten Sie eine Vorstellung des zu verwendenden Formats, und unten ist ein einfaches Beispiel aufgeführt, obwohl es derzeit kein Beispiel für eine benutzerdefinierte Spalte enthält.

Für Ihren speziellen Anwendungsfall dann, nämlich "tshark -i mon0 -T Felder -er wlan.fc.type -er wlan.fc -er wlan.fc.type_subtype", kann der folgende Befehl gibt Ihnen etwas näher an dem, was Sie wollen:

tshark -i mon0 -o 'gui.column.format:"No.","%m","Type","%Cus:wlan.fc.type","Frame Control","%Cus:wlan.fc","Subtype","%Cus:wlan.fc.type_subtype"'