tshark filtra em Centos 7

Question

tshark filtra em Centos 7

#1 resposta do (1 votos)

0

Eu estou trabalhando em alguns filtros tshark, preciso dividir um pcap em timebasis para SIP e DIP em particular, eu tentei editcap mas pode ir com base no tempo apenas eu não posso passar IPADDRESS para editcap, eu vi tshark pode fazer isso

[root@ids01 snort-1]# tshark -r snort.log.1518688921  -w /tmp/pcap_tshark.pcap -Y "(frame.time >= "" Feb 17, 2018 16:00:00"") && (frame.time <= ""Feb 17, 2018 16:01:00"") && ip.addr==192.0.0.7"
tshark: "17" was unexpected in this context

Por favor, veja em negrito por erro qual é o problema com filtros, estou usando centos 7.

command-line wireshark tshark quoting

por chandu 17.02.2018 / 08:38

1 resposta

Tags command-line wireshark tshark quoting

Os dados xGen do Maya compensaram durante a renderização no Katana com Renderman [closed] Como verificar se determinado módulo de kernel do driver suporta um determinado dispositivo?

score 1 · Accepted Answer

O problema é com o uso de citações, você precisa de barra invertida para preservar aspas duplas do filtro, tente isto:

tshark -r snort.log.1518688921  -w /tmp/pcap_tshark.pcap -Y '(frame.time >= "Feb 17, 2018 16:00:00") && (frame.time <= "Feb 17, 2018 16:01:00") && ip.addr==192.0.0.7'

ou isto que também permite usar variáveis em vez de valores de tempo codificados - por exemplo, dentro de um script:

dbeg="Feb 17, 2018 16:00:00"
dend="Feb 17, 2018 16:01:00"
tshark -r snort.log.1518688921  -w /tmp/pcap_tshark.pcap -Y "(frame.time >= \"${dbeg}\") && (frame.time <= \"${dend}\") && ip.addr==192.0.0.7"