Tente executar tshark -r events.pcap -Y "http.request" -T fields -e http.file_data
.
-Y "http.request"
- filtros para pacotes que são solicitações http
-T fields -e http.file_data
- define os campos de saída apenas para o corpo da solicitação
EDIT: Com um arquivo grande, você pode precisar dividir suas capturas com uma ferramenta como editcap .