Несколько фильтров в tshark

Question

Фильтры -Y, -2 и -R в tshark запутываются в версии Wireshark версии 2.XX.

В версии 1.8 мы смогли применить несколько фильтров и сохранить отфильтрованные пакеты в CSV-файл с помощью команды ниже:

tshark.exe -r src.pcap -T fields -e frame.number -e frame.time -e frame.len -e ip.src -e ip.dst -e udp.srcport -e udp.dstport -E header=y -E separator=, -E quote=d -E occurrence=f -R (ip.src==x.x.x.x)&&(ip.dst==y.y.y.y) > filtered.csv 

Но эта команда не работает в версии 2.x. Помогите, если кто-то применил мультифильтр в новых версиях Wireshark.

Answer 1

Вы должны быть в состоянии добиться того, чего хотите, заменив -R (ip.src==x.x.x.x)&&(ip.dst==y.y.y.y) на -Y "(ip.src==x.x.x.x)&&(ip.dst==y.y.y.y)".

Answer 2

На окнах 7, я имел эту работу с Wireshark 2.2.1, добавив, -2 и со ссылкой на строку, которые следуют опции -R, например:

tshark.exe -r mypcap.pcapng -T полей - 2 -e frame.number -e frame.time -e frame.len -E header = y -E separator =, -E quote = d -E появление = f -R "(ip.src == 192.168.1.20) & & (ip.dst == 20.1.168.192) "

Не ссылаясь на выражение после« -R », получается печать полей и оценка выражения. Если выражение выводит TRUE, фильтр распознается и получается результат. В противном случае фильтр (например, ip.src) будет оцениваться как команда системой, в результате чего команда «не распознана»