tshark - 轉儲和分析網絡流
概要
tshark的 [ -2 ] [ -a <捕捉自動停止條件>] ... [ -b <捕捉環形緩沖區選項>] ... [ -B <捕獲緩沖區大小>] [ -c <捕獲分組計數>] [ - ? <配置文件>] [ -d <層型> == <選擇>,<譯碼作為協議>] [ -D ] [ -e <字段>] [ -E <現場打印選項>] [ -f <捕獲篩選>] [ -F <文件格式>] [ -g ] [ -h ] [ -H <輸入hosts文件>] [ -i <采集界面> | - ] [ -I ] [ -K <密鑰表>] [ -l ] [ -L ] [ -n ] [ -N <名稱解析標志>] [ -o <偏好設置>] ... [ -O <協議>] [ -p ] [ -P ] [ -q ] [ -Q ] [ -r <INFILE>] [ -R <讀過濾>] [ -s <捕獲的Snaplen>] [ -S <分隔符>] [ -t 一個|廣告| adoy | D | DD | E | - [R | U | UD | udoy] [ -T 領域| PDML | PS | PSML |文] [ -u <秒類型>] [ -v ] [ -V ] [ -w <OUTFILE> | - ] [ -W <文件格式選項>] [ -x ] [ -X <分機選項>] [ -y <捕獲鏈接類型>] [ -Y <顯示過濾>] [ -z <統計>] [ --capture注釋 <評論> ] [<捕獲篩選>]
tshark -G [column-formats|currentprefs|decodes|defaultprefs|fields|ftypes|heuristic-decodes|plugins|protocols|values]
說明
tshark的是一個網絡協議分析儀。它可以讓你從現場的網絡捕獲的數據包,或從以前保存的文件中讀取數據包,無論是打印這些數據包發送到標准輸出的解碼形式或寫入數據包到一個文件中。 tshark的 “原生捕捉文件格式是PCAP格式,這也是所使用的格式tcpdump的和各種其它的工具。
不帶任何選項設定,tshark的將工作很像tcpdump的。它將使用PCAP庫來從第一個可用的網絡接口捕獲流量,並顯示在stdout為每個接收到的分組的摘要線。
tshark的是能夠檢測,讀取和寫入由支持在同一捕獲文件Wireshark的。輸入文件並不需要特定的文件擴展名; 文件格式和一個可選的gzip壓縮將被自動檢測到。鄰近的描述部分開頭的wireshark(1)或 https://www.wireshark.org/docs/man-pages/wireshark.html 是的方式的詳細描述Wireshark的處理這一點,這是相同的方式tshark的手柄這一點。
壓縮文件支持使用(因此要求)zlib庫。如果zlib庫不存在,tshark的編譯,但將無法讀取壓縮文件。
如果-w沒有指定選項,tshark的寫到標准輸出它捕獲或讀取數據包的解碼格式的文本。如果-w指定選項,tshark的寫入由該選項與數據包的時間標記所指明的分組的原始數據,沿該文件。
當寫數據包的解碼形式,tshark的寫道,在默認情況下,包含由首選項文件中指定的字段(這也是包列表窗格中顯示的字段摘要行Wireshark的),但如果它的寫數據包,它捕捉他們,而不是從已保存的捕獲文件寫入數據包,它不會顯示在“幀號”字段。如果-V指定選項時,將它寫入代替的分組的細節,示出在分組的所有協議的所有字段的圖。如果-O指定選項時,將只顯示指定的完整協議。使用“輸出tshark的-G協議 “找到可以指定的協議的縮寫。
如果你想要寫數據包的解碼形式到一個文件,運行 tshark的無-w選項,並重定向其標准輸出到文件(也不能使用-w選項)。
當數據包寫入到文件中,tshark的,默認情況下,寫在文件PCAP格式,並寫入所有它認為到輸出文件中的數據包。該-F選項可用於指定在其中寫入該文件的格式。顯示的可用文件格式此列表-F沒有價值的標志。但是,你不能指定一個實時捕獲的文件格式。
閱讀中的過濾器tshark的,這可以讓你選擇哪些數據包需要被解碼或者寫入文件,是非常強大的; 更多的領域是在濾過tshark的比其他協議分析儀,你可以用它來 ??創建自己的過濾器的語法更加豐富。作為tshark的 進展,希望越來越多的協議字段在讀過濾器被允許。
數據包捕獲與PCAP庫執行。捕捉過濾器語法如下PCAP庫的規則。該語法是從讀出過濾器語法不同。讀濾波器也可以被捕獲時指定,並且只有通過讀取濾波器將顯示或保存到輸出文件中的數據包; 注意,但是,捕獲過濾器是更有效的比讀過濾器,並可能更難以 tshark的跟上一個繁忙的網絡,如果被指定用於實時捕獲的讀取濾波器。
捕獲或讀取過濾器既可以與指定-f或-R 選項,分別在這種情況下,整個過濾表達式必須被指定為一個參數(這意味着如果它包含空格,則必須用引號括起來),或可以與后選項參數的命令行參數,在這種情況下后過濾器參數所有參數都被視為一個過濾表達式來指定。做一個實時捕獲時,捕獲過濾器只支持; 做一個實時捕獲和讀取一個捕獲文件時,當過濾器讀取支持,但需要tshark的過濾時做更多的工作,所以你可能會更容易,如果您使用的是讀過濾器在重負載下丟包。如果以后選項參數指定了命令行參數的過濾器,它是有捕捉正在做的(即,如果沒有捕獲篩選 -r指定選項)和一個讀過濾器,如果捕獲文件讀取(即如果-r指定選項)。
該-G選項是一個特殊的模式,簡單地導致tshark的 帥位幾種類型的內部詞匯表,然后退出之一。
選項
- -2
-
執行兩遍分析。這會導致tshark的緩沖輸出,直到整個第一遍已完成,但允許它填入需要未來知識領域,如字段'在幀#響應“。還允許將正確計算重組幀依賴性。
- -a <捕捉自動停止條件>
-
設置一個標准,指定當tshark的是停止寫入捕捉文件。標准是的形式測試:值,其中測試是下列之一:
持續時間:值停止寫入捕捉文件后價值秒鍾過去了。
作品尺寸:值停止寫入捕捉文件后,它達到的大小 值 KB。如果此選項與-b選項一起使用,tshark的 將停止寫入當前捕捉文件,並切換到下一個,如果文件大小達到。當讀取捕獲文件,tshark的將停止讀取文件之后讀取的字節數超過此數值(完整數據包將被讀取,所以比這個數目更多的字節可被讀取)。注意,文件大小限制為2吉布最大值。
文件:值停止寫入捕捉文件后,值被寫入文件的數量。
- -b <捕捉環形緩沖區選項>
-
原因tshark的在“多個文件”模式運行。在“多個文件”模式, tshark的會寫幾個捕獲文件。當第一個捕捉文件被寫滿,tshark的將切換書寫下一個文件等等。
所創建的文件名 ??是基於與給定的文件名-w選項,文件的數目和在創建日期和時間,例如outfile_00001_20050604120117.pcap,outfile_00002_20050604120523.pcap,...
隨着文件選項它也可能形成一個“環形緩沖區”。這將填充新文件,直到指定的文件的數量,在該點tshark的將丟棄該數據的第一個文件中和將數據寫入該文件等等。如果文件沒有設置選項,新文件填充,直到捕獲停止條件匹配一個(或直到磁盤已滿)。
該標准的形式是關鍵:值,其中關鍵的是下列之一:
持續時間:值切換到后的下一個文件的值秒后,即使當前文件沒有完全填滿。
作品尺寸:值切換后達到的規模下一個文件 的價值 KB。注意,文件大小限制為2吉布最大值。
文件:值再次與第一個文件開始后的價值的文件數量寫(形成一個環形緩沖區)。此值必須小於10萬應注意使用的文件時大量使用:一些文件系統不處理在一個目錄多個文件很好。該文件准則要求或者持續時間或文件大小進行規定,以控制什么時候去到下一個文件。應當指出的是,每個-b參數接受正好一個標准; 指定兩個標准,每個人都必須在前面加上-b 選項。
例如:-b作品尺寸:1000 -b文件:5的結果在每個大小為一兆五檔環形緩沖區。
- -B <捕獲緩沖區大小>
-
設置捕獲緩沖區大小(以MIB,默認為2 MIB)。此所使用的捕獲驅動程序緩沖的分組數據,直到該數據可以被寫入到磁盤。如果捕捉時碰到丟包現象,可以嘗試增大它的大小。需要注意的是,雖然tshark的試圖通過默認設置緩沖區大小為2 MIB,並且可以被告知將它設置為一個更大的值,系統或接口上你捕獲可能默默地限制捕獲緩沖區大小為較低的值或它提升到一個更高的值。
這是用於UNIX系統與libpcap的1.0.0或更高版本和Windows。它不適用於UNIX系統的早期版本的libpcap的。
這個選項可以出現多次。如果第一次出現之前使用-i選項,它設置默認捕獲緩沖區大小。如果使用后-i選項,它設置捕獲緩沖區大小由過去的指定的接口-i此選項之前發生的選項。如果捕獲緩沖區大小沒有特別設定,默認捕獲緩沖區大小來代替。
- -c <捕獲的數據包數>
-
設置數據包捕獲實時數據時,讀取的最大數量。如果讀一個捕獲文件,設置數據包要讀取的最大數量。
- -C <配置文件>
-
與給定的配置文件運行。
- -d <層型> == <選擇>,<譯碼作為協議>
-
像Wireshark的的解碼為...功能,這可以讓你指定一個圖層類型應該被解剖。如果有問題的層類型(例如, tcp.port或udp.port的TCP或UDP端口號)的規定選擇值,包應作為解剖指定的協議。
例如:-d tcp.port == 8888,HTTP將解碼運行在TCP端口8888作為HTTP的流量。
例如:-d tcp.port == 8888:3,HTTP將解碼運行在TCP端口8888,8889或8890作為HTTP的流量。
例如:-d tcp.port == 8888-8890,HTTP將解碼運行在TCP端口8888,8889或8890作為HTTP的流量。
使用無效的選擇器或協議將打印出有效的選擇器和協議名稱的列表,分別。
例如:。-d是一個快速的方法來獲得有效的選擇列表。
例如:。-d以太== 0x0800的是一個快速的方法來獲得可以與以太網類型選擇協議的列表。
- -D
-
打印接口上的列表tshark的可以捕捉,並退出。每個網絡接口,一個數字和一個接口名,可能緊跟在界面的文本描述,被打印。接口名稱或數量可以提供給-i選項指定要在其上捕捉的接口。
這可以在不具有命令列出它們(例如,Windows系統或UNIX系統缺乏系統是有用的ifconfig -a); 數量可在Windows 2000和更高版本的系統,其中接口名稱是一個比較復雜的字符串是有用的。
需要注意的是“可以捕獲”是指tshark的是能夠打開設備進行實時捕捉。根據您的系統,你可能需要從具有特殊權限的帳戶下運行tshark的(例如,作為root)才能夠捕獲網絡流量。如果tshark的-D不是從這樣的帳戶下運行,它不會顯示任何接口。
- -e <現場>
-
添加一個字段,字段列表顯示,如果-T領域被選中。這個選項可以在命令行上多次使用。如果該至少一個字段必須提供-T字段選項被選中。列名可以使用前綴“_ws.col。”
例如:-e frame.number -e ip.addr -e UDP -e _ws.col.info
給人一種協議,而不是一個單一的場將打印有關的協議作為一個單一的場數據的多個項目。字段之間用制表符分隔默認。 -E控制打印領域的格式。
- -E <現場打印選項>
-
設置選項控制領域的印刷時-T領域被選中。
選項??有:
標題= Y | N如果Y,打印的使用給定的字段名稱的列表-e 作為輸出的第一行; 字段名稱將使用相同的字符作為字段值中分離出來。默認為。
分離器= / T | /秒| <字符>設置分隔符使用領域。如果/噸標簽將會被使用(這是默認值),如果 /秒,一個單一的空間將被使用。否則,可以通過命令行被接受為選擇一部分的任何字符都可以使用。
發生= F | L |一個用於具有多個事件字段選擇對哪些發生。如果F第一次出現將被使用,如果升 最后出現的將被使用,如果一個事件都將使用(這是默認值)。
聚合=,| / S | <字符>設置聚合字符用於具有多次出現的字段。如果,一個逗號將被使用(這是默認值),如果/秒,一個單一的空間將被使用。否則,可以通過命令行被接受為選擇一部分的任何字符都可以使用。
報價= D | S | N,設置引號字符使用環繞領域 e 使用雙引號,單引號,暫無報價(默認值)。
- -f <捕獲過濾器>
-
設置捕捉過濾器表達式。
這個選項可以出現多次。如果第一次出現之前使用-i選項,它設置默認的捕獲過濾器表達式。如果使用后-i選項,它為在最后指定的接口捕獲過濾表達式-i此選項之前發生的選項。如果捕獲過濾器表達式沒有設置具體而言,如果所提供的默認捕獲篩選表達式中使用。
- -F <文件格式>
-
設置使用寫入的輸出捕獲文件的文件格式-w 選項。寫有輸出-w選項是原始數據包數據,沒有文字,所以沒有-F選項來要求的文本輸出。選項-F 沒有價值將列出可用的格式。
- -g
-
此選項會導致輸出文件(S)同組讀取權限(即輸出文件(S)可以由主叫用戶所在組的其他成員被讀取)創建。
- -G [column-formats|currentprefs|decodes|defaultprefs|fields|ftypes|heuristic-decodes|plugins|protocols|values]
-
該-G選項將導致tshark的轉儲幾種類型的詞匯表,然后退出之一。如果沒有指定具體的詞匯類型,那么場報告會默認生成。
可用的報告類型包括:
列格式通過轉儲tshark的理解列的格式。有每行一個記錄。這些字段是制表符分隔。
*字段1 =格式字符串(如“%RD”) *字段2 =格式字符串的文字說明(如“目的端口(解決)”)
currentprefs 轉儲當前偏好的將文件復制到標准輸出。
解碼轉儲“圖層類型”/“解碼為”協會標准輸出。有每行一個記錄。這些字段是制表符分隔。
*字段1 =層類型,例如“tcp.port” *字段2 =選擇十進制 *字段3 =“解碼為”名稱,如“HTTP”
defaultprefs 轉儲一個默認的首選項文件到標准輸出。
田 轉儲注冊數據庫到標准輸出的內容。一個獨立的程序可以借此輸出格式化成漂亮的表或HTML或什么的。有每行一個記錄。每個記錄可以是一個協議或一個首標字段,由第一字段來區分。這些字段是制表符分隔。
*協議 * --------- *字段1 ='P' *字段2 =描述協議名稱 *現場3 =協議的縮寫 * *頭字段 * ------------- *字段1 ='F' *字段2 =描述字段名 *現場3 =現場縮寫 *字段4 =類型(ftenum類型的文字表述) *字段5 =父協議的縮寫 *字段6 =基地顯示器(整數類型); “父位字段寬度”為FT_BOOLEAN *字段7 =掩碼:格式:十六進制:0X .... *字段8 = Blurb的描述場
ftypes通過轉儲tshark的理解“ftypes”(基本類型)。有每行一個記錄。這些字段是制表符分隔。
*字段1 = FTYPE(如“FT_IPv6”) *字段2 =類型的文字說明(如“IPv6地址”)
啟發式解碼轉儲啟發式當前安裝的解碼。有每行一個記錄。這些字段是制表符分隔。
*字段1 =底層剝離(如“TCP”) *字段2 =啟發式解碼器(如UCP“)的名稱 *現場3 =啟發式啟用(如“T”或“F”)
插件目前轉儲安裝的插件。有每行一個記錄。這些字段是制表符分隔。
*字段1 =插件庫(如“gryphon.so”) *字段2 =插件版本(例如0.0.4) *現場3 =插件類型(如“剝離”或“點擊”) *字段4 =完整路徑插件文件
協議轉儲在注冊數據庫到標准輸出協議。一個獨立的程序可以借此輸出格式化成漂亮的表或HTML或什么的。有每行一個記錄。這些字段是制表符分隔。
*字段1 =協議名稱 *字段2 =協議簡稱 *現場3 =協議過濾器名稱
值轉儲value_strings,range_strings或真/假字符串有他們的字段。有每行一個記錄。字段都是用制表符分隔。有三種類型的記錄:值的字符串,字符串范圍和真/假的字符串。第一字段,“V”,“R”或“T”,表示記錄的類型。
*字符串值 * ------------- *字段1 ='V' *字段2 =字段的縮寫來此字符串值對應 *現場3 =整數值 *字段4 =字符串 * *范圍弦樂 * ------------- *字段1 ='R' *字段2 =字段的縮寫來此范圍對應的字符串 *現場3 =整數值:下限 *字段4 =整數值上限 *字段5 =字符串 * *真/假弦樂 * ------------------ *字段1 ='T' *字段2 =字段以縮寫此真/假對應的字符串 *字段3 = TRUE字符串 *字段4 =假字符串
- -h
-
打印版本和選項,然后退出。
- -H <輸入hosts文件>
-
閱讀條目列表從“hosts”文件,然后將被寫入捕獲文件。意味着-W?。可多次調用。
在“hosts”文件格式記錄在 http://en.wikipedia.org/wiki/Hosts_(file) 。
- -i <捕捉接口> | -
-
設置網絡接口或管道的名稱,用於現場數據包捕獲。
網絡接口名稱應與所列出的名稱之一“ tshark的-D(如上所述)“; 一個數字,所報告的“ tshark的-D “,也可以使用。如果您使用的是UNIX,“ netstat的-i “或” 使用ifconfig -a “也可能工作獲得的接口名,雖然不是所有的UNIX版本都支持-a選項的ifconfig。
如果不指定接口,tshark的搜索列表界面,選擇第一個非回送接口,如果有任何非Loopback接口,並選擇第一個loopback接口,如果沒有非環回接口。如果沒有接口可言, tshark的報告錯誤,不執行捕捉。
管道名即可以是FIFO(命名管道)的名稱或`` - ''從標准輸入讀取數據。從管道讀取的數據必須是標准的PCAP格式。
這個選項可以出現多次。當從多個接口捕獲,捕獲文件將被保存在PCAP-ng的格式。
注:Win32版本的tshark的不支持從管道捕捉!
- -I
-
把接口“監控模式”; 這僅支持IEEE 802.11無線網絡接口,只支持某些操作系統。
需要注意的是在監控模式適配器可能撇清與從它的關聯,這樣你就不能使用任何無線網絡與該適配器的網絡。這可能會阻止訪問網絡服務器上的文件,或解析主機名或網絡地址,如果捕獲在監控模式和未連接到另一個網絡的另一個適配器。
這個選項可以出現多次。如果第一次出現之前使用-i選項,它使顯示器模式,所有接口。如果使用后-i選項,它使監控模式由過去的指定的接口-i此選項之前發生的選項。
- -K <密鑰表>
-
負載的Kerberos從指定的密鑰表文件中的加密密鑰。此選項可以多次使用,以從多個文件加載密鑰。
例如:-K krb5.keytab
- -l
-
沖洗信息每個包印后標准輸出。(這不是嚴格來說,如果行緩沖-V 指定;但是,它是相同的行緩沖如果-V未指定,因為只有一條線打印每個分組,並且,作為-l管道實時捕捉到一個程序或腳本時,這樣一個數據包的輸出顯示了一旦數據包被看到和解剖正常使用,它應該工作一樣好,真行緩沖。我們這樣做是作為一種變通方法在微軟的Visual C ++ C庫的缺乏。)
管道的輸出時,這可能是有用的tshark的另一方案,因為它意味着以該輸出通過管道程序將盡快看到的解剖數據分組tshark的看到該分組,並產生輸出,而不是看它只有當包含數據的標准輸出緩沖區填滿。
- -L
-
列出了由接口和出口所支持的數據鏈路的類型。所報告的鏈接類型可用於-y選項。
- -n
-
禁用網絡對象名解析(如主機名,TCP和UDP端口名稱); 在-N標志可能會覆蓋這一塊。
- -N <名稱解析標志>
-
打開名稱僅用於特定類型的地址和端口號的解析,與名稱解析為其他類型的地址和端口號的關閉。該標志覆蓋-n如果兩個-N和-n存在。如果兩個-N和-n標志不存在,所有的域名解析被打開。
的說法是,可能包含字母的字符串:
啟用並發(異步)DNS查詢
米啟用MAC地址解析
啟用網絡地址解析
使使用外部解析器(如DNS)的網絡地址解析
牛逼使傳輸層端口號決議
- -o <偏愛>:<值>
-
設置首選項值,覆蓋默認值和偏好文件中讀取任意值。的參數的選擇是以下形式的字符串為prefname :值,其中為prefname是偏好(這是將出現在首選項文件名 ??稱相同)的名稱,並且值是其應該被設置的值。
- -O <協議>
-
類似-V選項,但會導致tshark的,只顯示的逗號分隔的列表的詳細視圖的協議規定,而不是所有協議的詳細視圖。使用“輸出tshark的-G協議 “找到可以指定的協議的縮寫。
- -p
-
不要將接口設置為混雜模式。請注意,接口可能是處於混雜模式的某些其他原因; 因此, -p不能使用,以確保所捕獲的唯一流量的流量發送至或自該機器tshark的運行過程中,廣播業務和組播業務以由該機器接收地址。
這個選項可以出現多次。如果第一次出現之前使用-i選項,沒有接口將投入混雜模式。如果使用后-i選項,由最后一個指定的接口-i 此選項之前發生的選項將不會被放入混雜模式。
- -P
-
解碼並顯示該分組摘要,即使使用寫入原始分組數據-w選項。
- -q
-
當捕獲數據包,不顯示數據包的連續計數捕獲保存捕獲到一個文件時被正常顯示; 相反,只顯示,在捕捉,分組的計數捕獲的結束。在支持的信號SIGINFO,如各種BSD版本的系統,可以導致當前計數的鍵入你的“狀態”字符(通常控制-T在至少某些顯示,盡管它可能被設置為“已禁用”默認BSD系統,所以你必須明確地將其設置為使用它)。
當讀取一個捕獲文件,或捕捉的時候,而不是保存到文件,打印不包信息; 如果您使用的是這是非常有用的-z 選項來計算統計數據,不希望數據包的信息打印出來,只是統計數據。
- -Q
-
當捕捉數據包,只顯示真正的錯誤。這種輸出小於-q選項,所以接口名稱和總包數和捕獲的結束不會被發送到標准錯誤。
- -r <INFILE>
-
讀取數據包INFILE,可以是任何支持的捕捉文件格式(包括gzip壓縮文件)。也可以使用命名管道或標准輸入( - )在這里,但只能使用特定的(未壓縮的)捕獲的文件格式(特別是:那些可無求向后讀取)。
- -R <閱讀過濾器>
-
原因指定的過濾器(它使用的讀/顯示過濾器的語法,而不是捕獲過濾器)分析第一遍期間應用。包不匹配的過濾器不考慮未來的通行證。不僅使多傳球意識,看到-2。對於單通解剖常規過濾看到-Y替代。
需要注意的是前瞻性領域如'響應於幀#'不能與該過濾器使用的,因為它們不會一直計算當該過濾器被應用。
- -s <捕獲的Snaplen>
-
設置默認的快照長度捕捉現場數據時使用。不超過的Snaplen字節每個網絡分組的將被讀入存儲器,或保存到磁盤。0值指定的65535快照長度,從而使全包捕獲; 這是默認的。
這個選項可以出現多次。如果第一次出現之前使用-i選項,它設置默認的快照長度。如果使用后-i選項,它設置快照長度由過去的指定的接口-i此選項之前發生的選項。如果快照長度未設置具體地,如果所提供的默認快照長度被使用。
- -S <分隔符>
-
設置在線分離器包之間進行打印。
- -ta |廣告| adoy | D | DD |電子| R | U | UD | udoy
-
設置分組時間戳打印在總結行的格式。該格式可以是以下之一:
一個絕對:絕對時間,在時區的本地時間,是數據包捕獲的實際時間,並顯示沒有日期
廣告絕對與日期:絕對日期,顯示為YYYY-MM-DD和時間,在時區的本地時間,就是實際的時間和日期的數據包被抓獲
adoy絕對有使用日期一年中的一天:絕對日期,顯示為YYYY / DOY和時間,在時區的本地時間,就是實際的時間和日期的數據包被抓獲
e增量:增量時間是因為前一個數據包被抓獲
DD delta_displayed:本delta_displayed時間是自上次顯示的報文被抓獲
時代:紀元以來以秒為單位的時間(1970年1月1日00:00:00)
相對:相對時間的第一分組和當前分組之間的時間間隔
ü UTC:絕對時間的推移,UTC,是數據包捕獲的實際時間,並顯示沒有日期
UD UTC與日期:絕對日期,顯示為YYYY-MM-DD,和時間,UTC,是實際的時間和日期的數據包被抓獲
udoy UTC使用一年中一天日期:絕對日期,顯示為YYYY / DOY,和時間,UTC,是實際的時間和日期的數據包被抓獲
默認格式是相對的。
- -T領域| PDML | PS | PSML |文
-
查看解碼的分組數據時設置輸出格式。選項??有之一:
字段與指定字段的值-e選項,由指定的形式-E選項。例如,
-T領域-E隔膜=,-E報價= D
將生成逗號分隔值(CSV)輸出適合導入到自己喜歡的電子表格程序。
PDML包詳情標記語言,用於解碼分組的細節基於XML的格式。此信息相當於印有該分組細節-V標志。
的ps的PostScript對於每個數據包,或各分組的,這取決於是否在的細節的多線圖的人類可讀一行摘要-V指定標志。
PSML分組摘要標記語言,用於解碼分組的摘要信息的基於XML的格式。此信息相當於在一行摘要默認打印出的信息。
文本中的每個報文,或各分組的,這取決於是否在的細節的多線圖的人類可讀一行摘要文本-V指定標志。這是默認的。
- -u <秒類型>
-
指定秒的類型。有效的選擇是:
s為秒
HMS的小時,分鍾和秒
- -v
-
打印版本和退出。
- -V
-
原因tshark的要打印的數據包詳細信息視圖。
- -w <OUTFILE> | -
-
寫入原始分組數據OUTFILE或標准輸出,如果 OUTFILE為“ - ”。
注:-w提供原始數據包數據,而不是文字。如果你想文本輸出需要重定向標准輸出(例如,使用'>'),不使用-w 選項這一點。
- -W <文件格式選項>
-
保存在文件中的額外信息,如果該格式支持它。例如,
-F pcapng -W?
將節省主機名解析記錄以及捕獲的數據包。
Wireshark的未來版本可能會采集格式自動更改為 pcapng需要。
的說法是,可能包含了下面這封信的字符串:
寫網絡地址解析信息(僅pcapng)
- -x
-
引起tshark的到打印摘要和/或細節后打印分組數據的一個十六進制和ASCII轉儲,如果有一個也被顯示。
- -X <分機選項>
-
指定要傳 ??遞給一個選項tshark的模塊。擴展選項的形式extension_key :值,其中extension_key可以是:
lua_script:lua_script_filename告訴tshark的加載,除了默認的Lua腳本給定的腳本。
lua_script NUM:參數告訴tshark的給定參數傳遞給確定的“民”,這是“lua_script'命令的數量索引順序LUA腳本。例如,如果只有一個腳本加載“-X lua_script:my.lua',然后'-X lua_script1:富'將字符串'富'傳遞給'my.lua'腳本。如果裝了兩個腳本,如“-X lua_script:my.lua”和“-X lua_script:other.lua”的順序,那么“-X lua_script2:酒吧”將通過字符串'酒吧'到第二LUA腳本,即“other.lua”。
read_format:file_format告訴tshark的使用給定的文件格式讀取該文件(在給定的文件中-r命令選項)。提供了無file_format參數,或者一個無效,會產生可用的文件格式使用的文件。
- -y <捕獲鏈接類型>
-
設置捕捉包中數據鏈接類型。所報告的值-L是可以被使用的值。
這個選項可以出現多次。如果第一次出現之前使用-i選項,它設置默認的捕捉鏈路類型。如果使用后-i選項,它設置了由過去的指定接口捕獲鏈路類型-i此選項之前發生的選項。如果捕獲鏈路類型沒有設置具體地,如果所提供的默認捕獲鏈路類型被使用。
- -Y <顯示過濾器>
-
原因指定的過濾器(它使用的讀/顯示過濾器的語法,而不是捕獲過濾器)打印數據包的解碼形式或寫入數據包文件之前得到應用。匹配的數據包過濾器打印或寫入文件; 該匹配的數據包取決於(例如,片段),不打印,但寫入文件包; 包不匹配的過濾器,也不依賴於被丟棄,而不是被印刷或書寫。
使用此,而不是-R使用單通分析濾波。如果這樣做兩遍分析(見-2)然后只包匹配的讀取濾波器(如果有的話)將被針對該過濾器進行檢查。
- -z <統計>
-
獲取tshark的收集各類統計和整理顯示讀取捕獲文件后的結果。使用-q標志,如果你正在讀一個捕獲文件,只希望打印的統計數據,沒有任何每個數據包的信息。
注意,-z原選項是不同的-它不會導致統計要收集並且當捕獲完成時,它修改常規分組摘要輸出到包括與選項指定字段的值被印刷。因此,你不能使用-q 選項,因為該選項將抑制定期匯總數據包輸出的打印,也不得使用-V選項,因為這將導致數據包詳細信息,而不是要打印的數據包的摘要信息。
目前實施的統計數據是:
- -z幫助
-
顯示所有可能的值-z。
- -z法新社,SRT [, 過濾器 ]
- -z駱駝,SRT
- -z比較, 啟動, 停止, TTL [0 | 1] , 以便[0 | 1] , 方差 [, 過濾器 ]
-
如果可選的過濾器指定,只有那些符合過濾器的數據包將被計算中使用。
- -z CONV, 類型 [, 過濾器 ]
-
創建一個表,其中列出了可在拍攝中可以看出所有的談話。 類型指定我們要生成的統計談話端點類型; 目前所支持的是:
“ETH”以太網地址 “FC”光纖通道地址 “FDDI”FDDI地址 “IP”IPv4地址 “IPv6的”IPv6??地址 “IPX”IPX地址 “TCP”TCP / IP套接字對IPv4和IPv6的支持 “TR”令牌環地址 “UDP”UDP / IP套接字對IPv4和IPv6的支持
如果可選的過濾器指定,只有那些符合過濾器的數據包將被計算中使用。
表呈現一行的每個會話,並顯示的包/字節在每個方向上的數目以及包/字節的總數。表被按照幀的總數量來分類。
- -z DCERPC,SRT, UUID, 大, 小的 [, 過濾器 ]
-
收集呼叫/答復SRT(服務響應時間)數據接口DCERPC UUID,版本主要。次要。所收集的數據是呼叫的每一道工序,MinSRT,MaxSRT和AvgSRT的數量。
例如:-z DCERPC,SRT,12345778-1234-ABCD-ef00-0123456789ac,1.0將收集的CIFS SAMR接口的數據。
這個選項可以在命令行上多次使用。
如果可選的過濾器提供,該統計將只計算那些匹配過濾器的呼叫。
例如:-z DCERPC,SRT,12345778-1234-ABCD-ef00-0123456789ac,1.0,ip.addr == 1.2.3.4將收集特定主機SAMR SRT統計。
- -z直徑,AVP [, cmd.code, 場, 場, ... ]
-
此選項允許提取大量捕捉文件最重要的直徑領域。恰好一個文本行用於與匹配每個直徑消息diameter.cmd.code將被打印。
空直徑命令代碼或“*”可被規定為馬赫任何diameter.cmd.code
例如:-z直徑,AVP 提取默認字段從直徑消息設置。
例如:-z直徑,AVP,280 默認提取物領域從直徑DWR消息集。
例如:-z直徑,AVP,272 默認提取物領域從直徑CC消息集。
提取直徑CC的消息最重要的領域:
tshark的-r file.cap.gz -q -z diameter,avp,272,CC-Request-Type,CC-Request-Number,Session-Id,Subscription-Id-Data,Rating-Group,Result-Code
以下字段將打印出的每個直徑的消息:
“幀”幀號。 “時間”框架到達Unix時間。 “SRC”源地址。 “srcport”源端口。 “DST”目標地址。 “dstport”目標端口。 “原”恆串“直徑”,它可以用於tshark的輸出的后處理。例如grep的/ sed的/ AWK。 “msgnr”序列。在框架內直徑消息的數目。例如“2”為在同一幀中的第三直徑的消息。 “is_request”'0',如果消息是一請求,'1',如果消息是一個答案。 “CMD”diameter.cmd_code,如'272'的信貸控制消息。 “req_frame”框架相匹配的地方要求被發現或數字“0”。 “ans_frame”框架,其中匹配的答案被發現或數字“0”。 萬一“resp_time”以秒響應時間,“0”,如果沒有在跟蹤中找到匹配的請求/應答。例如,在開始或捕獲結束。
-z直徑,AVP選項比快得多-V -T文本或-T PDML選項。
-z直徑,AVP選項比功能更強大-T場和-z原,COLINFO選項。
在一幀中的多個直徑的消息的支持。
幾個字段與在一個直徑消息同名的支持,如diameter.Subscription-ID-數據或diameter.Rating-集團。
注:tshark的-q選項,建議取消默認tshark的輸出。
- -z專家[ ,誤差|,警告|,注意|,聊天 ] [ ,過濾器 ]
-
收集所有的信息專家信息,並顯示它們順序,按嚴重程度分組。
例如:-z專家,SIP將顯示所有嚴重性專家項符合SIP協議的幀。
這個選項可以在命令行上多次使用。
如果可選的過濾器提供,該統計將只計算那些匹配過濾器的呼叫。
例如:-z“專家,筆記,TCP”只會收集專家項框架,包括TCP協議,用音符或更高的嚴重程度。
- -z跟隨, PROT, 模式, 篩選 [ ,范圍 ]
-
顯示兩個節點之間的TCP或UDP數據流的內容。由第二節點發送的數據的前綴選項卡以從由所述第一節點發送的數據區分開。
PROT指定的傳輸協議。它可以是一個: TCP TCP UDP UDP SSL SSL
模式指定輸出模式。它可以是一個: ASCII ASCII輸出為點非打印字符 十六進制 十六進制和ASCII數據偏移 原始 的十六進制數據
由於在輸出ASCII模式可以包含換行符,輸出端加一個換行符的每個部分的長度先輸出的每一部分。
過濾指定要顯示的流。UDP流選擇IP地址和端口對。TCP流與選擇無論是流索引或IP地址和端口對。例如: IP-ADDR0:PORT0,IP-ADDR1:PORT1 TCP流指數
范圍任選指定該流的“塊”應顯示。
例如:-z“跟隨,TCP,六角,1”將在“六角”格式顯示所述第一TCP數據流的內容。
================================================== ================= 遵循:TCP,十六進制 過濾器:tcp.stream EQ 1 節點0:200.57.7.197:32891 節點1:200.57.7.198:2906 00000000 00 00 00 22 00 00 00 07 00 85 0A 07 02 00 E9 02 ......“.... ........ 00000010 07 06 E9 00 0F 00 0D 04 00 00 00 01 00 03 00 06 ........ ........ 00000020 1F 00 06 04 00 00 ...... 00000000 00 01 00 00 .... 00000026 00 02 00 00例如:-z“跟着,TCP,ASCII,200.57.7.197:32891,200.57.7.198:2906”顯示200.57.7.197端口32891和200.57.7.98端口2906之間的TCP流的內容。
================================================== ================= 遵循:TCP,ASCII 過濾器:(省略可讀性) 節點0:200.57.7.197:32891 節點1:200.57.7.198:2906 38 ......“...... ................ 4 .... - -z H225,櫃台[ ,過濾器 ]
-
算上ITU-T H.225消息及其原因。在第一列中你得到H.225消息和H.225消息的原因,這發生在當前捕捉文件的列表。出現每個消息或原因的數目被顯示在第二列中。
例如:-z H225,計數器。
如果可選的過濾器提供,該統計將只計算那些匹配過濾器的呼叫。例如:使用-z“H225,計數器,ip.addr == 1.2.3.4”只收集統計信息在IP地址1.2.3.4交換主機H.225包。
這個選項可以在命令行上多次使用。
- -z H225,SRT [ ,過濾器 ]
-
收集的請求/響應SRT(服務響應時間)數據ITU-T H.225 RAS。收集的數據是每個ITU-T H.225 RAS消息類型的電話,最小SRT,最大SRT,平均SRT,最小的包,並在最大的數據包數量。您也將獲得打開請求的數量(Unresponded請求),廢舊反應(反應沒有匹配的要求),並重復的消息。
例如:-z H225,SRT
這個選項可以在命令行上多次使用。
如果可選的過濾器提供,該統計將只計算那些匹配過濾器的呼叫。
例如:-z“H225,SRT,ip.addr == 1.2.3.4”只會收集統計信息的IP地址1.2.3.4交換由主機ITU-T H.225 RAS包。
- -z寄主,IPv4的] [,IPv6的]
-
轉儲收集任何IPv4和/或IPv6地址中的“主機”的格式。IPv4和IPv6地址默認情況下傾倒。
地址是從多個來源,包括標准的“hosts”文件和捕獲的流量收集。
- -z HTTP,統計,
-
計算HTTP統計分布。顯示的值是HTTP狀態碼和HTTP請求的方法。
- -z HTTP,樹
-
計算HTTP數據包分配。顯示的值是HTTP請求模式和HTTP狀態代碼。
- -z http_req,樹
-
通過計算服務器的HTTP請求。顯示的值是服務器名稱和URI路徑。
- -z http_srv,樹
-
計算的HTTP請求和響應通過服務器。為HTTP請求,顯示的值是服務器的IP地址和服務器的主機名。為HTTP響應,顯示的值是服務器的IP地址和狀態。
- -z ICMP,SRT [, 過濾器 ]
-
計算總ICMP回應請求,應答的損失,並%的損失,以及最大值,最小值,平均值,中位數和樣本標准差SRT統計典型什么平提供。
例如:-z ICMP,SRT,ip.src == 1.2.3.4將收集的ICMP回應請求數據包從一個特定的主機發出ICMP SRT的統計數據。
這個選項可以在命令行上多次使用。
- -z的ICMPv6,SRT [, 過濾器 ]
-
計算總的ICMPv6回顯請求,應答的損失,並%的損失,以及最大值,最小值,平均值,中位數和樣本標准差SRT統計典型什么平提供。
例如:-z的ICMPv6,SRT,ipv6.src == FE80 :: 1將收集的ICMPv6回送請求數據包從一個特定主機發起的ICMPv6 SRT的統計數據。
這個選項可以在命令行上多次使用。
- -z IO,PHS [, 過濾器 ]
-
創建協議層次統計,列出兩個數據包數量和字節。如果沒有過濾器指定的統計信息將被計算所有數據包。如果過濾器是特定的統計數據將只計算那些匹配過濾器的報文。
這個選項可以在命令行上多次使用。
- -z IO,統計, 區間 [, 過濾器 ] [, 過濾器 ] [, 過濾器 ] ...
-
收集數據包/字節統計的時間間隔拍攝 間隔秒 間隔可以指定為一個整數或分數第二,可以用微秒(我們)分辨率進行指定。如果間隔為0,則統計數據將被計算在所有的數據包。
如果沒有過濾器指定的統計信息將被計算所有數據包。如果一個或多個濾波器是特定的統計將被計算為所有的過濾器和帶有統計每個濾波器的一列。
這個選項可以在命令行上多次使用。
例如:-z IO,統計,1,ip.addr == 1.2.3.4會產生向/從主機1.2.3.41秒統計所有流量。
例如:-z“IO,統計,0.001,SMB && ip.addr == 1.2.3.4”將產生的所有SMB數據包到/從主機1.2.3.4 1ms的統計數據。
以上所有的例子都使用標准的語法,用於產生統計僅計算在每個時間間隔的數據包和字節數。
IO,統計還可以做更多的統計和計算
COUNT(),SUM(),MIN(),MAX(),AVG()和load()的使用略有不同的過濾器語法: - -z IO,統計, 區間,“[COUNT | SUM | MIN | MAX | AVG | LOAD]( 場) 過濾器 “
-
注:一件重要的事情,這里要注意的是,過濾器是不可選的,並且該計算是基於該領域必須是過濾字符串或計算將失敗的一部分。
所以:-z IO,統計,0.010,AVG(smb.time)不起作用。使用-z IO,統計,0.010,AVG(smb.time)smb.time代替。另外要注意,一個領域可以存在多次同樣的包內,在這些數據包將被計算多次。
注:第二個重要的一點要注意的是,該系統設置小數點分隔符必須設置為“。”!如果它被設置為“”的統計將不會每濾波器顯示。
COUNT(場)濾波器 -計算的次數,該字段名稱每個間隔中的過濾包表(而不是它的值)出現。'' 場 ''可以是任何顯示過濾器名稱。
例如:-z IO,統計,0.010,“COUNT(smb.sid)smb.sid”
這將計數見於每10ms的間隔的SID的總數。
SUM(場)過濾器 -不像COUNT,該值將指定字段的每個時間間隔相加。'' 場 '只能是一個名為整數,浮點數,雙或相對時間字段。
例如:-z IO,統計,0.010,“SUM(frame.len)frame.len”
報告中雙向傳輸的所有數據包,一個10毫秒的時間間隔內的總字節數。
最小/最大/平均值(場)濾波器 -的最小值,最大值,或者在每個時間間隔的平均場值被計算。指定的字段必須是一個名為整型,浮點型,雙或相對時間字段。為相對時間字段,輸出呈現以秒為精度四舍五入至最接近微秒六個小數位。
在下面的例子中,第一Read_AndX呼叫的時間,最后Read_AndX響應值顯示和最小值,最大值和平均讀響應時間(SRT中)被計算。注:如果在DOS命令行外殼符,'^'時,每行不能以逗號結束所以它被放置在每個連續行的開頭:
tshark的-o tcp.desegment_tcp_streams:FALSE -n -q -r smb_reads.cap -z IO,統計,0, “MIN(frame.time_relative)frame.time_relative和smb.cmd == 0x2E讀取和smb.flags.response == 0”, “MAX(frame.time_relative)frame.time_relative和smb.cmd == 0x2E讀取和smb.flags.response == 1” “MIN(smb.time)smb.time和smb.cmd == 0x2E之間”, “MAX(smb.time)smb.time和smb.cmd == 0x2E之間”, “AVG(smb.time)smb.time和smb.cmd 0x2E的==”
====================================================================================================== IO統計 列#0:MIN(frame.time_relative)frame.time_relative和smb.cmd == 0x2E讀取和smb.flags.response == 0 列#1:MAX(frame.time_relative)frame.time_relative和smb.cmd == 0x2E之間和smb.flags.response == 1 列#2:MIN(smb.time)smb.time和smb.cmd 0x2E的== 列#3:MAX(smb.time)smb.time和smb.cmd 0x2E的== 列#4:AVG(smb.time)smb.time和smb.cmd 0x2E的== |列#0 |列#1 |列#2 |列#3 |列#4 | 時間| MIN | MAX | MIN | MAX | AVG | 000.000- 0.000000 7.704054 0.000072 0.005539 ??0.000295 ======================================================================================================下面的命令顯示的平均SMB響應讀取PDU大小,讀取的字節PDU總數,平均SMB寫請求PDU大小,並在SMB寫的PDU傳輸的字節總數:
tshark的-n -q -r smb_reads_writes.cap -z IO,統計,0, “AVG(smb.file.rw.length)smb.file.rw.length和smb.cmd == 0x2E讀取和smb.response_to” “SUM(smb.file.rw.length)smb.file.rw.length和smb.cmd == 0x2E讀取和smb.response_to” “AVG(smb.file.rw.length)smb.file.rw.length和smb.cmd ==值為0x2F,而不是smb.response_to” “SUM(smb.file.rw.length)smb.file.rw.length和smb.cmd ==值為0x2F,而不是smb.response_to”
================================================== =================================== IO統計 列#0:AVG(smb.file.rw.length)smb.file.rw.length和smb.cmd == 0x2E讀取和smb.response_to 列#1:SUM(smb.file.rw.length)smb.file.rw.length和smb.cmd == 0x2E之間和smb.response_to 列#2:AVG(smb.file.rw.length)smb.file.rw.length和smb.cmd ==值為0x2F,而不是smb.response_to 列#3:SUM(smb.file.rw.length)smb.file.rw.length和smb.cmd ==值為0x2F,而不是smb.response_to |列#0 |列#1 |列#2 |列#3 | 時間| AVG | SUM | AVG | SUM | 000.000- 30018 28067522 72 3240 ================================================== ===================================LOAD(場)過濾器 -加載??/隊列深度的每個間隔計算。指定字段必須是相對時間字段表示一個響應時間。例如smb.time。對於每個區間的隊列深度為指定的協議的計算方法。
下面的命令顯示平均SMB LOAD。值為1.0表示一個I / O在飛行。
tshark的-n -q -r smb_reads_writes.cap -z“IO,統計,0.001,LOAD(smb.time)smb.time”
================================================== ========================== IO統計 間隔:0.001000秒 列#0:LOAD(smb.time)smb.time |列#0 | 時間| LOAD | 0000.000000-0000.001000 1.000000 0000.001000-0000.002000 0.741000 0000.002000-0000.003000 0.000000 0000.003000-0000.004000 1.000000框架| BYTES [()過濾器 ] -顯示幀或字節總數。該過濾器領域是可選的,但如果把它列入必須以''()''預先考慮。
下面的命令顯示五列:使用單個逗號,相同的兩個統計使用框架幀和字節(傳送雙向)的總數和BYTES子,含有至少一個SMB讀響應幀的總數量,以及總在IP傳送給客戶端(單向)的字節數地址10.1.0.64。
tshark的-o tcp.desegment_tcp_streams:FALSE -n -q -r smb_reads.cap -z IO,統計,0,框架,字節, “框架()== smb.cmd 0x2E的和smb.response_to”,“字節()== ip.dst 10.1.0.64”
======================================================================================================================= IO統計 列#0: 列#1:框架 列#2:字節 列#3:幀()== smb.cmd 0x2E的和smb.response_to 列#4:字節()== ip.dst 10.1.0.64 |列#0 |列#1 |列#2 |列#3 |列#4 | 時間|框架|字節|框架| BYTES |框架| BYTES | 000.000- 33576 2972??1685 33576 2972??1685 870 29004801 ======================================================================================================================= - -z MAC-LTE,STAT [ ,過濾器 ]
-
這個選項將會激活LTE MAC消息的計數器。您將獲得有關的UE / ??TTI,常見的消息和各種計數器出現在日志中每個UE的最大數量的信息。
例如:-z MAC-LTE,統計。
這個選項可以在命令行上多次使用。
如果可選的過濾器提供,該統計只計算那些匹配過濾器,幀。例如:-z“MAC-LTE,統計,MAC-lte.rnti 3000“>只會收集統計信息的UE與分配RNTI,其值是3000多。
- -z MEGACO,RTD [ ,過濾器 ]
-
收集的請求/響應的RTD(響應時間延遲)數據MEGACO。(這類似於-z尖兒,SRT)。所收集的數據是呼叫為每個已知MEGACO類型,MinRTD,MaxRTD和AvgRTD的數量。此外,你得到重復的請求/響應,unresponded請求,響應,不與任何請求匹配的數量。例如:-z MEGACO,RTD。
如果可選的過濾器提供,該統計將只計算那些匹配過濾器的呼叫。例如:-z“MEGACO,RTD,ip.addr == 1.2.3.4”只會收集統計信息的IP地址1.2.3.4交換主機MEGACO包。
這個選項可以在命令行上多次使用。
- -z MGCP,RTD [ ,過濾器 ]
-
收集的請求/響應的RTD(響應時間延遲)數據MGCP。(這類似於-z尖兒,SRT)。所收集的數據是呼叫為每個已知MGCP類型,MinRTD,MaxRTD和AvgRTD的數量。此外,你得到重復的請求/響應,unresponded請求,響應,不與任何請求匹配的數量。例如:-z MGCP,RTD。
這個選項可以在命令行上多次使用。
如果可選的過濾器提供,該統計將只計算那些匹配過濾器的呼叫。例如:-z“MGCP,RTD,ip.addr == 1.2.3.4”只會收集統計信息的IP地址1.2.3.4交換主機MGCP包。
- -z原,COLINFO,過濾器,場
-
追加所有字段值的數據包的單行摘要輸出的信息列。此功能可用於追加任意字段的信息欄,除了該列的正常含量。 現場是價值應放置在Info列字段的顯示過濾器名稱。 過濾器是一個過濾器字符串控制對於哪些分組字段值將出現在信息欄中。 現場將僅在信息欄中的數據包匹配其提交過濾器。
注:為了使tshark的是能夠提取領域從包的價值,場必須是一部分過濾字符串。如果不是, tshark的將不能夠提取其值。
對於一個簡單的例子來了“nfs.fh.hash”字段添加到信息欄包含了“nfs.fh.hash”字段中,使用的所有數據包
-z原,COLINFO,nfs.fh.hash,nfs.fh.hash
為了把“nfs.fh.hash”的信息列,但只對數據包從主機1.2.3.4使用來臨:
-z“原,COLINFO,nfs.fh.hash && ip.src == 1.2.3.4,nfs.fh.hash”
這個選項可以在命令行上多次使用。
- -z RLC-LTE,STAT [ ,過濾器 ]
-
這個選項將會激活LTE RLC消息的計數器。您將獲得有關出現在日志中每個UE通用信息和各種計數器信息。
例如:-z RLC-LTE,統計。
這個選項可以在命令行上多次使用。
如果可選的過濾器提供,該統計只計算那些匹配過濾器,幀。例如:-z“RLC-LTE,統計,RLC-lte.ueid 3000“>只會收集統計信息的UE有超過3000 UEID。
- -z RPC,程序
-
收集呼叫/答復SRT數據為所有已知的ONC-RPC程序/版本。數據收集是呼吁每個協議/版本,MinSRT,MaxSRT和AvgSRT的數量。只能使用一次在命令行上此選項。
- -z RPC,SRT, 程序, 版本 [, 過濾器 ]
-
收集呼叫/答復SRT(服務響應時間)數據的程序 / 版本。所收集的數據是呼叫的每一道工序,MinSRT,MaxSRT,AvgSRT,以及對各過程的總時間的數目。
例如:-z RPC,SRT,100003,3將收集NFS v3的數據。
這個選項可以在命令行上多次使用。
如果可選的過濾器提供,該統計將只計算那些匹配過濾器的呼叫。
例如:-z RPC,SRT,100003,3,nfs.fh.hash ==為0x12345678將收集NFS v3的SRT統計特定文件。
- -z RTP,溪流
-
收集統計數據的所有RTP流,並計算最大。三角洲最大。和平均抖動和數據包丟失百分比。
- -z SCSI,SRT, CMDSET [, 過濾器 ]
-
收集呼叫/答復SRT(服務響應時間)數據SCSI命令集CMDSET。
Commandsets 0:1 SBC:SSC 5:MMC
所收集的數據是呼叫的每一道工序,MinSRT,MaxSRT和AvgSRT的數量。
例如:-z SCSI,SRT,0將收集的SCSI模塊命令(SBC)數據。
這個選項可以在命令行上多次使用。
如果可選的過濾器提供,該統計將只計算那些匹配過濾器的呼叫。
例如:-z SCSI,SRT,0,ip.addr == 1.2.3.4將收集的SCSI SBC SRT統計特定iSCSI / IFCP / FCIP主機。
- -z SIP,STAT [ ,過濾器 ]
-
這個選項將會激活SIP消息的計數器。你會得到每一個出現的方法SIP和狀態碼的每個SIP的數量。此外,您還可以獲得重發SIP消息的數量(僅適用於SIP基於UDP)。
例如:-z SIP,統計。
這個選項可以在命令行上多次使用。
如果可選的過濾器提供,該統計將只計算那些匹配過濾器的呼叫。例如:-z“抿,統計,ip.addr == 1.2.3.4”只會收集統計信息的IP地址1.2.3.4交換主機SIP數據包。
- -z中小企業,小島嶼發展中國家
-
當使用此功能tshark的將打印一份報告,所有發現的SID和帳戶名稱映射。只有那些其中的帳戶名稱已知的SID將呈現於表中。
對於此功能工作,你要么需要在首選項,“編輯/首選項/協議/ SMB /探聽到SID名映射”,或者您可以通過指定覆蓋喜好 -o“smb.sid_name_snooping:TRUE”的tshark的命令行。
由當前的方法tshark的找到SID->名稱映射相對限制未來擴張的希望。
- -z SMB,SRT [, 過濾器 ]
-
收集呼叫/答復SRT(服務響應時間)的數據為中小型企業。數據收集是呼吁每個SMB命令,MinSRT,MaxSRT和AvgSRT的數量。
例如:-z SMB,SRT
這些數據將作為所有正常的SMB命令單獨的表,所有Transaction2命令和所有NT事務命令。只有那些出現在捕捉這些命令將顯示其統計數據。僅在一個xAndX命令鏈中的第一命令將在計算中被使用。因此,對於共同SessionSetupAndX + TreeConnectAndX鏈,只有SessionSetupAndX呼叫將在統計中使用。這是一個缺陷,該缺陷可能會被固定在未來。
這個選項可以在命令行上多次使用。
如果可選的過濾器提供,該統計將只計算那些匹配過濾器的呼叫。
例如:-z“SMB,SRT,ip.addr == 1.2.3.4”只會收集統計信息的IP地址1.2.3.4交換主機SMB數據包。
- --capture注釋<評論>
-
添加評論捕捉到輸出文件。
如果創建了pcapng格式的新的輸出文件,此選項才可用。只有一個捕捉評論可能每個輸出文件中設置。
捕捉過濾器語法
見PCAP-過濾器(7)的手冊頁,或者,如果不存在,tcpdump的(8) ,或者,如果不存在,http://wiki.wireshark.org/CaptureFilters。
閱讀過濾器語法
對於協議和協議字段是濾過在一個完整的表tshark的看到Wireshark的過濾器(4)手冊頁。
FILES
這些文件包含各種的Wireshark配置值。
- 首
-
該喜好文件包含全局(系統級)和個人偏好設置。如果系統范圍的偏好文件存在,它首先讀取,覆蓋默認設置。如果個人喜好文件存在,它是下一次讀取,改寫以前的任何值。注意:如果在命令行選項-o使用(可能不止一次),它將從喜好文件依次覆蓋值。
首選項設置形式為prefname :值,每行一個,在那里為prefname是偏好和名稱值就是它應該被設置的值; 空格是允許的:和 值。首選項設置可以通過縮進連續行以空格繼續在后面的行。一個#字符開始運行到該行的末尾評論:
在混雜模式下捕捉#? #TRUE或FALSE(不區分大小寫)。 capture.prom_mode:TRUE
全球首選項文件是看在Wireshark的目錄下的共享主安裝目錄的子目錄(例如,在/ usr / local / share下/ Wireshark的/喜好)在UNIX兼容的系統,並在主安裝目錄下(例如, C:\ Program Files文件\ Wireshark的\喜好在Windows系統上)。
個人喜好文件所期望的是 $ HOME / .wireshark /喜好在UNIX兼容的系統和%APPDATA%\ Wireshark的\偏好(或者,如果%APPDATA%沒有定義,%USERPROFILE%\應用數據\ Wireshark的\喜好)在Windows系統上。
- 禁用(啟用)協議
-
該disabled_protos文件包含已被禁用的,所以他們的解剖從來沒有所謂的協議,全系統和個人名單。該文件包含協議名稱,每行,那里的協議名稱是將在該協議顯示過濾器中使用相同的名稱之一:
HTTP TCP#評論
全球disabled_protos文件使用相同的目錄作為全球首選項文件。
個人disabled_protos文件使用相同的目錄個人喜好文件。
- 名稱解析(主機)
-
如果個人主機文件存在,它是用來解決IPv4和IPv6地址的任何其他企圖都是為了解決這些問題之前。該文件有一個標准的主機 文件語法; 每一行包含一個IP地址和名稱用空格隔開。相同的目錄作為個人喜好文件被使用。
捕獲過濾器的名稱解析是由libpcap的在UNIX兼容的系統和WinPcap的Windows上進行處理。因此Wireshark的個人主機文件不會被征詢捕獲過濾器的名稱解析。
- 名稱解析(醚)
-
該醚文件被咨詢到相關6個字節的硬件地址名稱。首先,個人醚文件是經得起如果地址沒有找到有全球醚文件明年受審。
每一行包含一個硬件地址和名稱用空格隔開。該硬件地址的數字之間用冒號(:),破折號(分離- )或周期()。相同的分隔符必須在地址一致地使用。下面三行是一個有效的行醚文件:
FF:FF:FF:FF:FF:FF廣播 c0-00-FF-FF-FF-FF TR_broadcast 00.00.00.00.00.00 Zero_broadcast
全球醚文件找在的/ etc上的UNIX兼容的系統目錄下,並在主安裝目錄(例如C:\ Program Files文件\ Wireshark的)在Windows系統上。
個人醚文件在同一目錄中的個人喜好文件尋找。
捕獲過濾器的名稱解析是由libpcap的在UNIX兼容的系統和WinPcap的Windows上進行處理。因此Wireshark的個人醚文件不會被征詢捕獲過濾器的名稱解析。
- 名稱解析(MANUF)
-
該MANUF文件用於匹配的制造商的名稱的6字節的硬件地址的3字節的銷售商部分; 它也可以包含一個掩碼指定眾所周知的MAC地址和地址范圍。該文件的格式是相同的醚文件,除了該窗體的條目:
00:00:0C思科
可以提供,具有3字節的OUI和供應商的名稱,如條目:
00-00-0C-07-AC / 40全HSRP,路由器
可以指定一個MAC地址,並指示如何地址中有多少位必須匹配掩碼。以上條目,例如,有40個顯著位,或5個字節,並且將來自00-00-0C-07-AC-00通過00-00-0C-07-AC FF匹配的地址。掩模不必是8的倍數。
該MANUF文件在同一目錄作為全球首選項文件找。
- 名稱解析(ipxnets)
-
該ipxnets文件用於4個字節的IPX網絡號關聯到的名稱。首先,全球ipxnets文件嘗試,如果該地址沒有發現有個人一個是下一個嘗試。
的格式是一樣的醚 文件,除了每個地址是4字節,而不是6。另外,該地址可以被表示為一個單一的十六進制數,為的是更常見在IPX的世界,而不是四個六角字節。例如,這些四行是一個有效的行ipxnets文件:
C0.A8.2C.00 HR C0-a8-1c-00的CEO 00:00:BE:EF IT_Server1 110F FileServer3
全球ipxnets文件找在的/ etc上的UNIX兼容的系統目錄下,並在主安裝目錄(例如C:\ Program Files文件\ Wireshark的)在Windows系統上。
個人ipxnets文件在同一目錄中的個人喜好文件尋找。
環境變量
- WIRESHARK_APPDATA
-
在Windows上,通常的Wireshark中存儲%APPDATA%或%USERPROFILE%所有應用程序數據。您可以通過導出這個環境變量指定的備用位置覆蓋缺省位置。
- WIRESHARK_DEBUG_EP_NO_CHUNKS
-
通常情況下每個數據包分配內存在較大的“豆腐塊”。此行為不會與調試工具如Valgrind的或ElectricFence工作。導出這個環境變量來強制個人分配。注:禁用塊也禁用金絲雀(見下文)。
- WIRESHARK_DEBUG_SE_NO_CHUNKS
-
通常情況下每個文件分配內存在較大的“豆腐塊”。此行為不會與調試工具如Valgrind的或ElectricFence工作。導出這個環境變量來強制個人分配。注:禁用塊也禁用金絲雀(見下文)。
- WIRESHARK_DEBUG_EP_NO_CANARY
-
通常情況下每個數據包的內存分配是由“金絲雀”,它允許檢測內存超支分開。這是以一些額外的內存使用量為代價。導出這個環境變量來禁用這些加那利群島。
- WIRESHARK_DEBUG_SE_USE_CANARY
-
導出這個環境變量會導致每個文件的內存分配與“金絲雀”,它允許檢測內存溢出保護。這是以顯著額外的內存使用量為代價。
- WIRESHARK_DEBUG_SCRUB_MEMORY
-
如果這個環境變量設置,每個數據包和每個文件存儲器的內容被初始化為0xBADDCAFE當分配內存,並且被重置為0xDEADBEEF釋放內存時。主要是開發商在尋找的方式存儲的錯誤處理,此功能是非常有用的。
- WIRESHARK_DEBUG_WMEM_OVERRIDE
-
設置這個環境變量強制wmem框架使用指定的分配器后端*所有的*分配,無論哪個后端通常是由代碼指定的。測試或調試時,這主要是有用的開發商。見README.wmem詳細細節源分布。
- WIRESHARK_RUN_FROM_BUILD_DIRECTORY
-
該環境變量導致要由生成目錄(其中程序被編譯)加載插件和其它數據文件,而不是從標准位置。它有當有問題的程序與* NIX根(或setuid的)權限運行沒有影響。
- WIRESHARK_DATA_DIR
-
該環境變量引起的各種數據文件從目錄不是標准位置其它加載。它有當有問題的程序與* NIX根(或setuid的)權限運行沒有影響。
- WIRESHARK_PYTHON_DIR
-
這個環境變量指向的備用位置的Python。它有當有問題的程序與* NIX根(或setuid的)權限運行沒有影響。
- ERF_RECORDS_TO_CHECK
-
這個環境變量控制決定時,如果文件確實是在ERF格式ERF記錄數核對。設置此環境變量而不是默認的(20)一些更高將使誤報的可能性較小。
- IPFIX_RECORDS_TO_CHECK
-
這個環境變量控制決定時,如果文件確實是在IPFIX格式的IPFIX記錄數核對。設置此環境變量而不是默認的(20)一些更高將使誤報的可能性較小。
- WIRESHARK_ABORT_ON_DISSECTOR_BUG
-
如果這個環境變量設置,tshark的將調用
中止(3)一個解剖遇到錯誤時,中止(3)將導致程序異常退出; 如果你正在運行tshark的一個調試器,它應該停止在調試器,並允許過程檢驗,而且,如果你沒有運行在一個調試器,它將,在一些操作系統,假設你的環境配置是否正確,產生核心轉儲文件。這可能是有用的開發商嘗試與協議解碼解決問題。 - WIRESHARK_ABORT_ON_TOO_MANY_ITEMS
-
如果這個環境變量設置,tshark的將調用
中止(3)如果剝離試圖太多的項目添加到樹(通常這是不是打破了一個循環的解剖的指示很快)。中止(3)會導致程序異常退出; 如果你正在運行 tshark的一個調試器,它應該停止在調試器,並允許過程檢驗,而且,如果你沒有運行在一個調試器,它將,在一些操作系統,假設你的環境配置是否正確,產生核心轉儲文件。這可能是有用的開發商嘗試與協議解碼解決問題。 - WIRESHARK_EP_VERIFY_POINTERS
-
此環境變量,如果存在的話,會導致被審計指針某些用途,以確保它們不會指向被釋放后,每個數據包已經完全解剖記憶。這可能是有用的開發人員編寫或審計代碼。
- WIRESHARK_SE_VERIFY_POINTERS
-
此環境變量,如果存在的話,會導致被審計指針某些用途,以確保它們不會指向時捕獲文件被關閉后,釋放內存。這可能是有用的開發人員編寫或審計代碼。
- WIRESHARK_ABORT_ON_OUT_OF_MEMORY
-
此環境變量,如果存在的話,原因
中止(3)要如果某些出內存不足的條件(這通常會導致一個例外,一個解釋性的錯誤消息)都是經驗豐富的調用。這可能是有用的開發者調試出內存不足的情況。