Mehrfachfilter in tshark

Question

Die Filter -Y, -2 und -R in tshark verwirren in Wireshark Version 2.XX.

In Version 1.8 konnten wir mehrere Filter und speichern Sie die gefilterten Pakete in CSV-Datei mit dem Befehl unten anzuwenden:

tshark.exe -r src.pcap -T fields -e frame.number -e frame.time -e frame.len -e ip.src -e ip.dst -e udp.srcport -e udp.dstport -E header=y -E separator=, -E quote=d -E occurrence=f -R (ip.src==x.x.x.x)&&(ip.dst==y.y.y.y) > filtered.csv 

Aber dieser Befehl funktioniert nicht in Versionen 2.x. Bitte helfen Sie, wenn jemand Multi-Filter in neuen Wireshark-Versionen anwendet.

Answer 1

Sie sollten erreichen können, was Sie wollen, indem Sie -R (ip.src==x.x.x.x)&&(ip.dst==y.y.y.y) durch -Y "(ip.src==x.x.x.x)&&(ip.dst==y.y.y.y)" ersetzen.

Answer 2

unter Windows 7, ich hatte dies mit wireshark arbeiten 2.2.1, Hinzufügen von -2 und unter Angabe der Zeichenfolge, die Option -R folgen, wie folgt aus:

tshark.exe -r mypcap.pcapng -T Felder - 2 -e frame.number -e frame.time -e frame.len -E header = y -E separator =, -E zitat = d -E Vorkommen = f -R (ip.src == 192.168.1.20) & & (ip.dst == 20.1.168.192) "

Wenn der Ausdruck nach" -R "nicht zitiert wird, werden Druckfelder gedruckt und der Ausdruck ausgewertet. Wenn der Ausdruck TRUE ergibt, wird der Filter erkannt und das Ergebnis wird angegeben. Andernfalls wird der Filter (z. B. ip.src) als Befehl vom System ausgewertet, was dazu führt, dass "Befehl nicht erkannt wird"