Можно ли получить tshark
выходное поле каждого поля (внутри пакета) с использованием опции -T fields
или аналогичного?tshark выводит все поля?
например. Для каждого поля в пакете/реконструкции, я хотел бы что-то вроде этого:
eth.src:f2:3c:91:96:fd:09,ip.src:1.2.3.4,tcp.dst_port:80,http.request.uri:/index.html
(. Запятая может быть заменена \xff
сделать разбор лучше, когда значения содержат запятые)
Я понимаю, что есть параметр -e
, но кажется, что мне нужно было бы вставить все возможные поля в командной строке. Кроме того, в каждом пакете будет использоваться лишь небольшая часть полей, что позволяет анализировать множество данных.
В настоящее время я планирую использовать опцию tshark -V
и разобрать, но в идеале я хотел бы больше терминов машины стиля, такие как http.request.uri
вместо «читаемого человека», например:
Hypertext Transfer Protocol
GET /main.php HTTP/1.1\r\n
[Expert Info (Chat/Sequence): GET /main.php HTTP/1.1\r\n]
[Message: GET /main.php HTTP/1.1\r\n]
[Severity level: Chat]
[Group: Sequence]
Request Method: GET
Request URI: /main.php