tshark sortie tous les domaines?

Est-il possible d'obtenir tshark de sortie de chaque champ (dans le paquet) à l'aide de la -T fields option, ou similaire?

par exemple, Pour chaque champ dans le paquet/reconstruction, je voudrais quelque chose comme ceci:

eth.src:f2:3c:91:96:fd:09,ip.src:1.2.3.4,tcp.dst_port:80,http.request.uri:/index.html

(La virgule pourrait être remplacé par un \xff pour rendre l'analyse mieux lorsque les valeurs contiennent des virgules.)

Je me rends compte il est le -e option, mais il semble que je dois mettre dans chaque champ possible dans la ligne de commande. En plus de cela, seule une petite fraction des champs seront utilisés dans chaque paquet, ce qui rend pour un grand nombre de données à analyser.

J'ai actuellement l'intention d'utiliser le tshark -V option et d'analyser, mais idéalement, j'aimerais que plus de la machine style des termes tels que http.request.uri au lieu de "lisible" par exemple:

Hypertext Transfer Protocol
    GET /main.php HTTP/1.1\r\n
        [Expert Info (Chat/Sequence): GET /main.php HTTP/1.1\r\n]
            [Message: GET /main.php HTTP/1.1\r\n]
            [Severity level: Chat]
            [Group: Sequence]
        Request Method: GET
        Request URI: /main.php

OriginalL'auteur Gerald Kaszuba | 2013-03-06

  1. 9

    Juste trébuché à travers:

    tshark -T pdml

    qui est exactement ce dont j'ai besoin:

    <packet>
  <proto name="geninfo" pos="0" showname="General information" size="173">
    <field name="num" pos="0" show="323" showname="Number" value="143" size="173"/>
    <field name="len" pos="0" show="173" showname="Frame Length" value="ad" size="173"/>
    <field name="caplen" pos="0" show="173" showname="Captured Length" value="ad" size="173"/>
    <field name="timestamp" pos="0" show="Aug  7, 2011 16:16:13.579504000 EST" showname="Captured Time" value="1312697773.579504000" size="173"/>
  </proto>
  <proto name="frame" showname="Frame 323: 173 bytes on wire (1384 bits), 173 bytes captured (1384 bits)" size="173" pos="0">
    <field name="frame.time" showname="Arrival Time: Aug  7, 2011 16:16:13.579504000 EST" size="0" pos="0" show="Aug  7, 2011 16:16:13.579504000"/>
    ... etc.

    Il comprend les Wireshark nom du filtre, ainsi que tous les champs qui sont inclus dans le paquet.

    Mise à jour: C'est assez lent, et le piratage des tshark.c donc -V imprime le abbrev au lieu de la name dans le header_field_info *hfinfo; fait le truc de trop. Je devrais probablement contribuer ce une option quand j'ai la chance.

    comment pirater tshark.c? U peut guilde ou un exemple pour moi? Merci

    OriginalL'auteur Gerald Kaszuba