tshark - Trực tuyến trên đám mây

Chạy tshark trong nhà cung cấp dịch vụ lưu trữ miễn phí OnWorks trên Ubuntu Online, Fedora Online, trình giả lập trực tuyến Windows hoặc trình mô phỏng trực tuyến MAC OS

Đây là lệnh tshark có thể chạy trong nhà cung cấp dịch vụ lưu trữ miễn phí OnWorks bằng cách sử dụng một trong nhiều máy trạm trực tuyến miễn phí của chúng tôi như Ubuntu Online, Fedora Online, trình giả lập trực tuyến Windows hoặc trình giả lập trực tuyến MAC OS

Chạy trong Ubuntu Chạy trong Fedora Chạy trong Windows Sim Chạy trong MACOS Sim

CHƯƠNG TRÌNH:

TÊN

tshark - Kết xuất và phân tích lưu lượng mạng

SYNOPSIS

cá mập [ -2 ] [ -a ] ...
[ -b ] ... [ -B ]
[ -c ] [ -C ]
[ -d == , ] [ -D ] [ -e ]
[ -E ] [ -f ] [ -F ] [ -g ] [ -h ]
[ -H ] [ -i | -] [ -I ] [ -K ] [ -l ]
[ -L ] [ -n ] [ -N ] [ -o ] ...
[ -O ] [ -p ] [ -P ] [ -q ] [ -Q ] [ -r ] [ -R ]
[ -s ] [ -S ] [ -t a | ad | adoy | d | dd | e | r | u | ud | udoy]
[ -T các trường | pdml | ps | psml | văn bản] [ -u ] [ -v ] [ -V ] [ -w | -]
[ -W ] [ -x ] [ -X ] [ -y ]
[ -Y ] [ -z ] [ --capture-bình luận ]
[ ]

cá mập -G [ ]

MÔ TẢ

TShark là một bộ phân tích giao thức mạng. Nó cho phép bạn nắm bắt dữ liệu gói từ một
mạng hoặc đọc các gói từ tệp chụp đã lưu trước đó, in một tệp đã giải mã
dạng của các gói đó đến đầu ra tiêu chuẩn hoặc ghi các gói vào một tệp. TShark's
định dạng tệp chụp gốc là mũ định dạng, cũng là định dạng được sử dụng bởi tcpdump và
nhiều công cụ khác.

Không có bất kỳ tùy chọn nào được đặt, TShark sẽ hoạt động giống như tcpdump. Nó sẽ sử dụng thư viện pcap
để nắm bắt lưu lượng truy cập từ giao diện mạng có sẵn đầu tiên và hiển thị một dòng tóm tắt
trên stdout cho mỗi gói nhận được.

TShark có thể phát hiện, đọc và ghi cùng một tệp chụp được hỗ trợ bởi
Wireshark. Tệp đầu vào không cần phần mở rộng tên tệp cụ thể; định dạng tệp và
một nén gzip tùy chọn sẽ được tự động phát hiện. Gần đầu
Phần DESCRIPTION của Wireshark(1) hoặc
là một mô tả chi tiết về
cách Wireshark xử lý điều này, đó là cách tương tự cá mập xử lý điều này.

Hỗ trợ tệp nén sử dụng (và do đó yêu cầu) thư viện zlib. Nếu zlib
thư viện không có, TShark sẽ biên dịch, nhưng sẽ không thể đọc các tệp nén.

Nếu -w tùy chọn không được chỉ định, TShark ghi vào đầu ra tiêu chuẩn văn bản của một
dạng được giải mã của các gói mà nó bắt hoặc đọc. Nếu -w tùy chọn được chỉ định, TShark
ghi vào tệp được chỉ định bởi tùy chọn đó dữ liệu thô của các gói, cùng với
tem thời gian của gói tin.

Khi viết một dạng gói được giải mã, TShark viết, theo mặc định, một dòng tóm tắt
chứa các trường được chỉ định bởi tệp tùy chọn (cũng là các trường
hiển thị trong ngăn danh sách gói trong Wireshark), mặc dù nếu nó đang viết các gói
nắm bắt chúng, thay vì ghi các gói từ một tệp chụp đã lưu, nó sẽ không hiển thị
trường "số khung". Nếu -V tùy chọn được chỉ định, nó ghi thay thế một chế độ xem của
chi tiết của gói, hiển thị tất cả các trường của tất cả các giao thức trong gói. Nếu -O
tùy chọn được chỉ định, nó sẽ chỉ hiển thị đầy đủ các giao thức được chỉ định. Sử dụng đầu ra của
"cá mập -G giao thức"để tìm các chữ viết tắt của các giao thức mà bạn có thể chỉ định.

Nếu bạn muốn ghi dạng gói đã giải mã vào một tệp, hãy chạy TShark không có -w
và chuyển hướng đầu ra tiêu chuẩn của nó đến tệp (do không sử dụng -w Tùy chọn).

Khi ghi các gói vào một tệp, TShark, theo mặc định, ghi tệp vào mũ định dạng và
ghi tất cả các gói mà nó nhìn thấy vào tệp đầu ra. Các -F tùy chọn có thể được sử dụng để
chỉ định định dạng để ghi tệp. Danh sách các định dạng tệp có sẵn này là
hiển thị bởi -F cờ không có giá trị. Tuy nhiên, bạn không thể chỉ định định dạng tệp cho
chụp trực tiếp.

Đọc bộ lọc trong TShark, cho phép bạn chọn gói nào sẽ được giải mã hoặc
được ghi vào một tệp, rất mạnh mẽ; nhiều trường hơn có thể lọc trong TShark hơn những nơi khác
bộ phân tích giao thức và cú pháp bạn có thể sử dụng để tạo bộ lọc của mình phong phú hơn. Như
TShark tiến triển, mong đợi ngày càng nhiều trường giao thức được phép trong bộ lọc đọc.

Việc bắt gói được thực hiện với thư viện pcap. Cú pháp bộ lọc chụp sau
các quy tắc của thư viện pcap. Cú pháp này khác với cú pháp bộ lọc đọc. MỘT
bộ lọc đọc cũng có thể được chỉ định khi chụp và chỉ các gói vượt qua mức đọc
bộ lọc sẽ được hiển thị hoặc lưu vào tệp đầu ra; lưu ý, tuy nhiên, bộ lọc chụp
hiệu quả hơn nhiều so với bộ lọc đọc và có thể khó hơn TShark để giữ
với mạng bận nếu bộ lọc đọc được chỉ định cho chụp trực tiếp.

Bộ lọc chụp hoặc đọc có thể được chỉ định với -f or -R tùy chọn, tương ứng,
trong trường hợp đó, toàn bộ biểu thức bộ lọc phải được chỉ định dưới dạng một đối số duy nhất (mà
có nghĩa là nếu nó chứa khoảng trắng, nó phải được trích dẫn), hoặc có thể được chỉ định bằng lệnh-
đối số dòng sau đối số tùy chọn, trong trường hợp này tất cả các đối số sau
đối số bộ lọc được coi như một biểu thức bộ lọc. Bộ lọc chụp chỉ được hỗ trợ
khi thực hiện chụp trực tiếp; bộ lọc đọc được hỗ trợ khi chụp trực tiếp và khi
đọc một tệp chụp, nhưng yêu cầu TShark thực hiện nhiều công việc hơn khi lọc, vì vậy bạn có thể
nhiều khả năng bị mất gói khi tải nặng nếu bạn đang sử dụng bộ lọc đọc. Nếu bộ lọc
được chỉ định bằng các đối số dòng lệnh sau các đối số tùy chọn, đó là một bộ lọc chụp
nếu quá trình chụp đang được thực hiện (tức là, nếu không -r tùy chọn đã được chỉ định) và một bộ lọc đọc nếu
tệp chụp đang được đọc (tức là, nếu một -r tùy chọn đã được chỉ định).

-G tùy chọn là một chế độ đặc biệt chỉ đơn giản là gây ra cá mập để đổ một trong một số loại
bảng chú giải thuật ngữ nội bộ và sau đó thoát ra.

LỰA CHỌN

-2 Thực hiện phân tích hai vế. Điều này gây ra tshark để đệm đầu ra cho đến khi toàn bộ
lần đầu tiên vượt qua được thực hiện, nhưng cho phép nó điền vào các trường yêu cầu kiến thức trong tương lai,
chẳng hạn như các trường 'phản hồi trong khung #'. Cũng cho phép các khung phụ thuộc được lắp ráp lại
được tính toán một cách chính xác.

-Một
Chỉ định một tiêu chí chỉ định khi TShark là ngừng ghi vào một tập tin chụp.
Tiêu chí là về hình thức thử nghiệm:giá trị, Nơi thử nghiệm là một trong những:

thời gian:giá trị Dừng ghi vào tệp chụp sau giá trị giây đã trôi qua.

Kích thước tập tin:giá trị Dừng ghi vào tệp chụp sau khi nó đạt đến kích thước giá trị kB. Nếu như
tùy chọn này được sử dụng cùng với tùy chọn -b, TShark sẽ ngừng viết thư cho
tệp chụp hiện tại và chuyển sang tệp tiếp theo nếu đạt đến kích thước tệp. Khi đọc
một tập tin chụp, TShark sẽ ngừng đọc tệp sau khi đọc hết số byte
vượt quá con số này (gói hoàn chỉnh sẽ được đọc, vì vậy nhiều byte hơn con số này
có thể được đọc). Lưu ý rằng kích thước tệp được giới hạn ở giá trị tối đa là 2 GiB.

các tập tin:giá trị Dừng ghi để chụp các tệp sau giá trị số lượng tệp đã được viết.

-NS
Nguyên nhân TShark để chạy ở chế độ "nhiều tệp". Ở chế độ "nhiều tệp", TShark sẽ
ghi vào một số tệp chụp. Khi tập tin chụp đầu tiên đầy, TShark sẽ
chuyển văn bản sang tệp tiếp theo, v.v.

Các tên tệp được tạo dựa trên tên tệp được cung cấp với -w tùy chọn, số
của tệp và vào ngày giờ tạo, ví dụ: outfile_00001_20050604120117.pcap,
outfile_00002_20050604120523.pcap, ...

Với các tập tin tùy chọn này cũng có thể tạo thành một "bộ đệm vòng". Điều này sẽ lấp đầy
các tệp mới cho đến khi số lượng tệp được chỉ định, tại thời điểm đó TShark sẽ loại bỏ
dữ liệu trong tệp đầu tiên và bắt đầu ghi vào tệp đó, v.v. Nếu các tập tin tùy chọn
chưa được đặt, các tệp mới sẽ được lấp đầy cho đến khi một trong các điều kiện dừng chụp phù hợp (hoặc
cho đến khi đĩa đầy).

Tiêu chí là về hình thức chính:giá trị, Nơi chính là một trong những:

thời gian:giá trị chuyển sang tệp tiếp theo sau giá trị giây đã trôi qua, ngay cả khi
tệp hiện tại chưa được lấp đầy hoàn toàn.

Kích thước tập tin:giá trị chuyển sang tệp tiếp theo sau khi nó đạt đến kích thước giá trị kB. Lưu ý rằng
kích thước tệp được giới hạn ở giá trị tối đa là 2 GiB.

các tập tin:giá trị bắt đầu lại với tệp đầu tiên sau giá trị số lượng tệp đã được viết
(tạo thành một bộ đệm vòng). Giá trị này phải nhỏ hơn 100000. Cần thận trọng khi sử dụng
khi sử dụng số lượng lớn tệp: một số hệ thống tệp không xử lý nhiều tệp trong một
thư mục duy nhất tốt. Các các tập tin tiêu chí yêu cầu một trong hai thời gian or Kích thước tập tin được
được chỉ định để kiểm soát thời điểm chuyển đến tệp tiếp theo. Cần lưu ý rằng mỗi -b
tham số nhận chính xác một tiêu chí; để chỉ định hai tiêu chí, mỗi tiêu chí phải được đặt trước
bởi -b tùy chọn.

Ví dụ: -b kích thước tệp: 1000 -b tệp: 5 dẫn đến một bộ đệm vòng có năm tệp có kích thước
một megabyte mỗi.

-NS
Đặt kích thước bộ đệm chụp (trong MiB, mặc định là 2 MiB). Điều này được sử dụng bởi chụp
trình điều khiển để đệm dữ liệu gói cho đến khi dữ liệu đó có thể được ghi vào đĩa. Nếu bạn gặp phải
gói tin bị rơi trong khi chụp, hãy cố gắng tăng kích thước này lên. Lưu ý rằng, trong khi cá mập
cố gắng đặt kích thước bộ đệm thành 2 MiB theo mặc định và có thể được yêu cầu đặt nó thành
giá trị lớn hơn, hệ thống hoặc giao diện mà bạn đang nắm bắt có thể âm thầm giới hạn
kích thước bộ đệm chụp thành giá trị thấp hơn hoặc nâng nó lên giá trị cao hơn.

Điều này có sẵn trên các hệ thống UNIX với libpcap 1.0.0 trở lên và trên Windows. Nó là
không khả dụng trên hệ thống UNIX với các phiên bản libpcap trước đó.

Tùy chọn này có thể xảy ra nhiều lần. Nếu được sử dụng trước lần xuất hiện đầu tiên của -i
tùy chọn, nó đặt kích thước bộ đệm chụp mặc định. Nếu được sử dụng sau một -i tùy chọn, nó thiết lập
kích thước bộ đệm chụp cho giao diện được chỉ định bởi -i lựa chọn xảy ra
trước tùy chọn này. Nếu kích thước bộ đệm chụp không được đặt cụ thể, giá trị mặc định
kích thước bộ đệm chụp được sử dụng để thay thế.

-NS
Đặt số lượng gói tối đa để đọc khi thu thập dữ liệu trực tiếp. Nếu đọc một
chụp tệp, đặt số lượng gói tối đa để đọc.

-C
Chạy với cấu hình đã cho.

-d == ,
Giống như Wireshark's Giải mã Như... tính năng này cho phép bạn chỉ định cách một loại lớp nên
được mổ xẻ. Nếu loại lớp được đề cập (ví dụ: tcp.port or Cổng udp cho một
Số cổng TCP hoặc UDP) có giá trị bộ chọn được chỉ định, các gói cần được mổ xẻ
như giao thức được chỉ định.

Ví dụ: -d tcp.port == 8888, http sẽ giải mã bất kỳ lưu lượng nào chạy qua cổng TCP 8888 dưới dạng
HTTP.

Ví dụ: -d tcp.port == 8888: 3, http sẽ giải mã bất kỳ lưu lượng nào chạy trên các cổng TCP 8888,
8889 hoặc 8890 dưới dạng HTTP.

Ví dụ: -d tcp.port == 8888-8890, http sẽ giải mã bất kỳ lưu lượng nào chạy qua các cổng TCP
8888, 8889 hoặc 8890 dưới dạng HTTP.

Việc sử dụng bộ chọn hoặc giao thức không hợp lệ sẽ in ra danh sách các bộ chọn hợp lệ và
tên giao thức, tương ứng.

Ví dụ: -d . là một cách nhanh chóng để có được danh sách các bộ chọn hợp lệ.

Ví dụ: -d ethertype == 0x0800. là một cách nhanh chóng để có được danh sách các giao thức có thể
được chọn với một loại ethertype.

-D in danh sách các giao diện trên đó TShark có thể nắm bắt và thoát ra. Cho mỗi
giao diện mạng, một số và tên giao diện, có thể theo sau là văn bản
mô tả của giao diện, được in. Tên giao diện hoặc số có thể là
cung cấp cho -i tùy chọn để chỉ định một giao diện để chụp.

Điều này có thể hữu ích trên các hệ thống không có lệnh liệt kê chúng (ví dụ: Windows
hệ thống hoặc thiếu hệ thống UNIX ifconfig -a); số có thể hữu ích trên Windows
Hệ thống 2000 trở lên, trong đó tên giao diện là một chuỗi hơi phức tạp.

Lưu ý rằng "có thể nắm bắt" có nghĩa là TShark đã có thể mở thiết bị đó để phát trực tiếp
chiếm lấy. Tùy thuộc vào hệ thống của bạn, bạn có thể cần chạy tshark từ tài khoản có
các đặc quyền đặc biệt (ví dụ như root) để có thể nắm bắt lưu lượng mạng. Nếu như
TShark -D không được chạy từ một tài khoản như vậy, nó sẽ không liệt kê bất kỳ giao diện nào.

-e
Thêm một trường vào danh sách các trường để hiển thị nếu -T các lĩnh vực đã được chọn. Tùy chọn này
có thể được sử dụng nhiều lần trên dòng lệnh. Ít nhất một trường phải được cung cấp
nếu -T các lĩnh vực tùy chọn được chọn. Tên cột có thể được sử dụng với tiền tố "_ws.col."

Ví dụ: -e khung.số -e ip.addr -e udp -e _ws.col.Info

Đưa ra một giao thức thay vì một trường đơn lẻ sẽ in ra nhiều mục dữ liệu về
giao thức như một trường duy nhất. Các trường được phân tách bằng ký tự tab theo mặc định.
-E kiểm soát định dạng của các trường được in.

-E
Đặt một tùy chọn kiểm soát việc in các trường khi -T các lĩnh vực được chọn.

Các tùy chọn là:

tiêu đề = y | n If y, in danh sách các tên trường được cung cấp bằng cách sử dụng -e như dòng đầu tiên của
đầu ra; tên trường sẽ được phân tách bằng cách sử dụng cùng một ký tự với trường
các giá trị. Mặc định là n.

dấu phân cách = / t | / s |Đặt ký tự phân tách để sử dụng cho các trường. Nếu như /t chuyển hướng
sẽ được sử dụng (đây là mặc định), nếu /s, một không gian duy nhất sẽ được sử dụng. Nếu không thì bất kỳ
ký tự có thể được chấp nhận bởi dòng lệnh như một phần của tùy chọn có thể được sử dụng.

sự xuất hiện = f | l | a Chọn lần xuất hiện nào để sử dụng cho các trường có nhiều
những lần xuất hiện. Nếu như f lần xuất hiện đầu tiên sẽ được sử dụng, nếu l lần xuất hiện cuối cùng sẽ là
được sử dụng và nếu a tất cả các lần xuất hiện sẽ được sử dụng (đây là mặc định).

bộ tổng hợp =, | / s |Đặt ký tự tổng hợp để sử dụng cho các trường có
nhiều lần xuất hiện. Nếu như , dấu phẩy sẽ được sử dụng (đây là mặc định), nếu /s, Một
không gian duy nhất sẽ được sử dụng. Nếu không, bất kỳ ký tự nào có thể được chấp nhận bởi
dòng lệnh như một phần của tùy chọn có thể được sử dụng.

quote = d | s | n Đặt ký tự trích dẫn để sử dụng cho các trường bao quanh. d sử dụng dấu ngoặc kép,
s dấu nháy đơn, n không có dấu ngoặc kép (mặc định).

-NS
Đặt biểu thức bộ lọc chụp.

Tùy chọn này có thể xảy ra nhiều lần. Nếu được sử dụng trước lần xuất hiện đầu tiên của -i
tùy chọn, nó đặt biểu thức bộ lọc chụp mặc định. Nếu được sử dụng sau một -i tùy chọn, nó
đặt biểu thức bộ lọc chụp cho giao diện được chỉ định bởi -i tùy chọn
xảy ra trước tùy chọn này. Nếu biểu thức bộ lọc chụp không được đặt
cụ thể, biểu thức bộ lọc chụp mặc định được sử dụng nếu được cung cấp.

-NS
Đặt định dạng tệp của tệp chụp đầu ra được ghi bằng cách sử dụng -w Lựa chọn. Các
đầu ra được viết với -w tùy chọn là dữ liệu gói thô, không phải văn bản, vì vậy không có -F
tùy chọn để yêu cầu đầu ra văn bản. Các tùy chọn -F không có giá trị sẽ liệt kê
định dạng.

-g Tùy chọn này khiến (các) tệp đầu ra được tạo với quyền đọc nhóm
(nghĩa là (các) tệp đầu ra có thể được đọc bởi các thành viên khác của người dùng đang gọi
nhóm).

-G [ ]
-G tùy chọn sẽ gây ra cá mập để kết xuất một trong một số loại bảng thuật ngữ và sau đó
lối ra. Nếu không có loại bảng chú giải cụ thể nào được chỉ định, thì các lĩnh vực báo cáo sẽ được
được tạo theo mặc định.

Các loại báo cáo có sẵn bao gồm:

định dạng cột Kết xuất các định dạng cột mà tshark hiểu được. Có một bản ghi cho mỗi
hàng. Các trường được phân cách bằng tab.

* Trường 1 = chuỗi định dạng (ví dụ: "% rD")
* Trường 2 = mô tả văn bản của chuỗi định dạng (ví dụ: "Cổng đích (đã giải quyết)")

hiện tại Kết xuất một bản sao của tệp tùy chọn hiện tại vào stdout.

giải mã Kết xuất các liên kết "loại lớp" / "giải mã dưới dạng" vào stdout. Chỉ có một
ghi trên mỗi dòng. Các trường được phân cách bằng tab.

* Trường 1 = loại lớp, ví dụ: "tcp.port"
* Trường 2 = bộ chọn ở dạng thập phân
* Trường 3 = "giải mã dưới dạng" tên, ví dụ: "http"

mặc địnhprefs Kết xuất tệp tùy chọn mặc định thành stdout.

bàn mổ xẻ Kết xuất danh sách các bảng mổ xẻ để sắp xếp lại. Có một bản ghi cho mỗi
hàng. Các trường được phân cách bằng tab.

* Trường 1 = tên bảng phân tích, ví dụ: "tcp.port"
* Trường 2 = tên được sử dụng cho bảng phân tách trong GUI
* Trường 3 = loại (đại diện bằng văn bản của loại ftenum)
* Trường 4 = cơ sở để hiển thị (đối với kiểu số nguyên)

số lượng trường Kết xuất số lượng trường tiêu đề để xếp hình.

các lĩnh vực Kết xuất nội dung của cơ sở dữ liệu đăng ký sang stdout. Một nên độc lập
chương trình có thể lấy đầu ra này và định dạng nó thành các bảng đẹp hoặc HTML hoặc bất cứ điều gì.
Có một bản ghi trên mỗi dòng. Mỗi bản ghi là một giao thức hoặc một trường tiêu đề,
được phân biệt bởi trường đầu tiên. Các trường được phân cách bằng tab.

* Giao thức
* ---------
* Trường 1 = 'P'
* Trường 2 = tên giao thức mô tả
* Trường 3 = chữ viết tắt của giao thức
*
* Trường tiêu đề
* -------------
* Trường 1 = 'F'
* Trường 2 = tên trường mô tả
* Trường 3 = chữ viết tắt của trường
* Trường 4 = loại (đại diện bằng văn bản của loại ftenum)
* Trường 5 = chữ viết tắt của giao thức mẹ
* Trường 6 = cơ sở để hiển thị (cho kiểu số nguyên); "chiều rộng trường bit chính" cho FT_BOOLEAN
* Trường 7 = bitmask: định dạng: hex: 0x….
* Trường 8 = trường mô tả blurb

ftypes Loại bỏ "ftypes" (loại cơ bản) được hiểu bởi tshark. Chỉ có một
ghi trên mỗi dòng. Các trường được phân cách bằng tab.

* Trường 1 = FTYPE (ví dụ: "FT_IPv6")
* Trường 2 = mô tả văn bản của loại (ví dụ: "địa chỉ IPv6")

giải mã heuristic Kết xuất các giải mã heuristic hiện đã được cài đặt. Chỉ có một
ghi trên mỗi dòng. Các trường được phân cách bằng tab.

* Trường 1 = trình mổ xẻ cơ bản (ví dụ: "tcp")
* Trường 2 = tên của bộ giải mã heuristic (ví dụ: ucp ")
* Trường 3 = đã bật heuristic (ví dụ: "T" hoặc "F")

bổ sung Kết xuất các plugin hiện được cài đặt. Có một bản ghi trên mỗi dòng. Các
các trường được phân cách bằng tab.

* Trường 1 = thư viện plugin (ví dụ: "gryphon.so")
* Trường 2 = phiên bản plugin (ví dụ: 0.0.4)
* Trường 3 = loại plugin (ví dụ: "mổ xẻ" hoặc "chạm")
* Trường 4 = đường dẫn đầy đủ đến tệp plugin

giao thức Kết xuất các giao thức trong cơ sở dữ liệu đăng ký thành stdout. Một nên độc lập
chương trình có thể lấy đầu ra này và định dạng nó thành các bảng đẹp hoặc HTML hoặc bất cứ điều gì.
Có một bản ghi trên mỗi dòng. Các trường được phân cách bằng tab.

* Trường 1 = tên giao thức
* Trường 2 = tên viết tắt của giao thức
* Trường 3 = tên bộ lọc giao thức

giá trị Kết xuất chuỗi giá trị, chuỗi_mảng hoặc chuỗi đúng / sai cho các trường
có chúng. Có một bản ghi trên mỗi dòng. Các trường được phân cách bằng tab. Có ba
các loại bản ghi: Chuỗi giá trị, Chuỗi phạm vi và Chuỗi Đúng / Sai. Trường đầu tiên,
'V', 'R' hoặc 'T', cho biết loại bản ghi.

* Chuỗi giá trị
* -------------
* Trường 1 = 'V'
* Trường 2 = tên viết tắt của trường mà chuỗi giá trị này tương ứng với
* Trường 3 = Giá trị số nguyên
* Trường 4 = Chuỗi
*
* Chuỗi phạm vi
* -------------
* Trường 1 = 'R'
* Trường 2 = tên viết tắt của trường mà chuỗi phạm vi này tương ứng với
* Trường 3 = Giá trị số nguyên: giới hạn dưới
* Trường 4 = Giá trị số nguyên: giới hạn trên
* Trường 5 = Chuỗi
*
* Chuỗi Đúng / Sai
* ------------------
* Trường 1 = 'T'
* Trường 2 = chữ viết tắt của trường mà chuỗi đúng / sai này tương ứng với
* Trường 3 = Chuỗi đúng
* Trường 4 = Chuỗi sai

-h In phiên bản và các tùy chọn và thoát.

-H
Đọc danh sách các mục nhập từ tệp "máy chủ", tệp này sau đó sẽ được ghi vào bản chụp
tập tin. Ngụ ý -W n. Có thể gọi nhiều lần.

Định dạng tệp "máy chủ" được ghi lại tạihttp://en.wikipedia.org/wiki/Hosts_(tệp)>.

-tôi | -
Đặt tên của giao diện mạng hoặc đường ống để sử dụng cho việc bắt gói trực tiếp.

Tên giao diện mạng phải khớp với một trong các tên được liệt kê trong "cá mập -D" (mô tả
bên trên); một số, như được báo cáo bởi "cá mập -D", cũng có thể được sử dụng. Nếu bạn đang sử dụng UNIX,
"netstat -i"Hoặc"ifconfig -a"cũng có thể hoạt động để liệt kê tên giao diện, mặc dù không
tất cả các phiên bản của UNIX đều hỗ trợ -a tùy chọn để ifconfig.

Nếu không có giao diện nào được chỉ định, TShark tìm kiếm danh sách các giao diện, chọn
giao diện không lặp lại đầu tiên nếu có bất kỳ giao diện không lặp lại nào và chọn
giao diện lặp đầu tiên nếu không có giao diện không lặp lại. Nếu không có
tất cả các giao diện, TShark báo lỗi và không bắt đầu chụp.

Tên đường ống phải là tên của FIFO (đường ống được đặt tên) hoặc `` - '' để đọc dữ liệu từ
đầu vào tiêu chuẩn. Dữ liệu đọc từ các đường ống phải ở định dạng pcap tiêu chuẩn.

Tùy chọn này có thể xảy ra nhiều lần. Khi chụp từ nhiều giao diện,
tập tin chụp sẽ được lưu ở định dạng pcap-ng.

Lưu ý: phiên bản Win32 của TShark không hỗ trợ chụp từ đường ống!

-Tôi đặt giao diện ở "chế độ giám sát"; điều này chỉ được hỗ trợ trên IEEE 802.11 Wi-Fi
và chỉ được hỗ trợ trên một số hệ điều hành.

Lưu ý rằng ở chế độ giám sát, bộ điều hợp có thể tách khỏi mạng mà
nó được liên kết, do đó bạn sẽ không thể sử dụng bất kỳ mạng không dây nào với
bộ chuyển đổi. Điều này có thể ngăn truy cập tệp trên máy chủ mạng hoặc máy chủ lưu trữ phân giải
tên hoặc địa chỉ mạng, nếu bạn đang chụp ở chế độ màn hình và không được kết nối
tới mạng khác bằng bộ điều hợp khác.

Tùy chọn này có thể xảy ra nhiều lần. Nếu được sử dụng trước lần xuất hiện đầu tiên của -i
tùy chọn, nó bật chế độ màn hình cho tất cả các giao diện. Nếu được sử dụng sau một -i Tùy chọn,
nó bật chế độ giám sát cho giao diện được chỉ định bởi -i tùy chọn
xảy ra trước tùy chọn này.

-K
Tải các khóa mật mã kerberos từ tệp keytab được chỉ định. Tùy chọn này có thể được sử dụng
nhiều lần để tải các khóa từ một số tệp.

Ví dụ: -K krb5.keytab

-l Xả đầu ra tiêu chuẩn sau khi thông tin cho mỗi gói được in. (Đây là
không, nói một cách chính xác, dòng được đệm nếu -V đã được chỉ định; tuy nhiên, nó giống như
dòng được đệm nếu -V không được chỉ định, vì chỉ một dòng được in cho mỗi gói,
và, như -l thường được sử dụng khi chuyển một bản ghi trực tiếp đến một chương trình hoặc tập lệnh, do đó
đầu ra cho một gói xuất hiện ngay sau khi gói được nhìn thấy và mổ xẻ, nó sẽ
hoạt động tốt như đệm dòng thực sự. Chúng tôi làm điều này như một giải pháp thay thế cho sự thiếu hụt
trong thư viện Microsoft Visual C ++ C.)

Điều này có thể hữu ích khi tạo đường ống cho đầu ra của TShark sang một chương trình khác, vì nó có nghĩa là
rằng chương trình mà đầu ra được chuyển đến sẽ thấy dữ liệu được phân tách cho một gói
ngay khi TShark nhìn thấy gói và tạo ra đầu ra đó, thay vì nhìn thấy nó
chỉ khi bộ đệm đầu ra tiêu chuẩn chứa dữ liệu đó đầy.

-L Liệt kê các kiểu liên kết dữ liệu được hỗ trợ bởi giao diện và thoát. Các loại liên kết được báo cáo
có thể được sử dụng cho -y tùy chọn.

-n Vô hiệu hóa độ phân giải tên đối tượng mạng (chẳng hạn như tên máy chủ, tên cổng TCP và UDP); các
-N cờ có thể ghi đè cái này.

-N
Chỉ bật tính năng phân giải tên cho các loại địa chỉ và số cổng cụ thể, với
tính năng phân giải tên cho các loại địa chỉ và số cổng khác đã bị tắt. Cờ này
ghi đè -n nếu cả hai -N và -n đang có mặt. Nếu cả hai -N và -n cờ không có,
tất cả các độ phân giải tên được bật.

Đối số là một chuỗi có thể chứa các chữ cái:

C để bật tra cứu DNS đồng thời (không đồng bộ)

d để kích hoạt độ phân giải từ các gói DNS đã bắt được

m để kích hoạt phân giải địa chỉ MAC

n để kích hoạt phân giải địa chỉ mạng

N để cho phép sử dụng trình phân giải bên ngoài (ví dụ: DNS) để phân giải địa chỉ mạng

t để kích hoạt độ phân giải số cổng của lớp truyền tải

-o :
Đặt giá trị tùy chọn, ghi đè giá trị mặc định và bất kỳ giá trị nào được đọc từ
tệp ưu tiên. Đối số cho tùy chọn là một chuỗi của biểu mẫu tên trước:giá trị,
Ở đâu tên trước là tên của tùy chọn (cũng là tên sẽ xuất hiện
trong tệp ưu tiên), và giá trị là giá trị mà nó sẽ được đặt.

-O
Tương tự như -V tùy chọn, nhưng nguyên nhân TShark để chỉ hiển thị chế độ xem chi tiết về dấu phẩy-
danh sách riêng biệt của giao thức được chỉ định, chứ không phải là một cái nhìn chi tiết về tất cả các giao thức.
Sử dụng đầu ra của "cá mập -G giao thức"để tìm chữ viết tắt của các giao thức bạn
có thể chỉ định.

-p Đừng đưa giao diện vào chế độ lăng nhăng. Lưu ý rằng giao diện có thể ở
chế độ lăng nhăng vì một số lý do khác; kể từ đây, -p không thể được sử dụng để đảm bảo rằng
chỉ lưu lượng được ghi lại là lưu lượng được gửi đến hoặc từ máy mà trên đó TShark
đang chạy, phát lưu lượng truy cập và lưu lượng phát đa hướng đến các địa chỉ nhận được
máy móc.

Tùy chọn này có thể xảy ra nhiều lần. Nếu được sử dụng trước lần xuất hiện đầu tiên của -i
tùy chọn, không có giao diện nào sẽ được đưa vào chế độ quảng cáo. Nếu được sử dụng sau một -i
tùy chọn, giao diện được chỉ định bởi -i tùy chọn xảy ra trước tùy chọn này
sẽ không bị đưa vào chế độ lăng nhăng.

-P Giải mã và hiển thị tóm tắt gói, ngay cả khi ghi dữ liệu gói thô bằng cách sử dụng -w
tùy chọn.

-q Khi bắt gói, không hiển thị số gói liên tục được bắt
thường được hiển thị khi lưu ảnh chụp vào một tệp; thay vào đó, chỉ hiển thị, ở cuối
việc bắt, một số lượng các gói tin đã được bắt. Trên các hệ thống hỗ trợ tín hiệu SIGINFO,
chẳng hạn như các BSD khác nhau, bạn có thể hiển thị số lượng hiện tại bằng cách nhập
ký tự "trạng thái" (thường là control-T, mặc dù nó có thể được đặt thành "tắt" bởi
mặc định trên ít nhất một số BSD, vì vậy bạn phải đặt nó một cách rõ ràng để sử dụng nó).

Khi đọc tệp chụp hoặc khi chụp và không lưu vào tệp, không in
thông tin gói tin; điều này rất hữu ích nếu bạn đang sử dụng -z tùy chọn để tính toán số liệu thống kê
và không muốn thông tin gói được in, chỉ là số liệu thống kê.

-Q Khi bắt gói, chỉ hiển thị lỗi thực sự. Đầu ra này ít hơn -q
tùy chọn, vì vậy tên giao diện và tổng số gói và kết thúc quá trình chụp không
gửi đến stderr.

-r
Đọc dữ liệu gói từ trong tập tin, có thể là bất kỳ định dạng tệp chụp được hỗ trợ nào (bao gồm
các tệp được nén). Có thể sử dụng các đường ống được đặt tên hoặc stdin (-) ở đây nhưng chỉ với
một số định dạng tệp chụp nhất định (không được nén) (đặc biệt: những định dạng có thể đọc được
mà không tìm kiếm ngược lại).

-R
Gây ra bộ lọc được chỉ định (sử dụng cú pháp của bộ lọc đọc / hiển thị, thay vì
của bộ lọc chụp) sẽ được áp dụng trong lần phân tích đầu tiên. Các gói không
phù hợp với bộ lọc không được xem xét cho các lần vượt qua trong tương lai. Chỉ có ý nghĩa với
nhiều lần, xem -2. Để lọc thông thường trên phân tích một lần, hãy xem -Y thay thế.

Lưu ý rằng không thể sử dụng các trường hướng tới tương lai như 'phản hồi trong khung #' với
bộ lọc này, vì chúng sẽ không được tính toán khi bộ lọc này được áp dụng.

-NS
Đặt độ dài ảnh chụp nhanh mặc định để sử dụng khi chụp dữ liệu trực tiếp. Không nhiều hơn cái búng tay
byte của mỗi gói mạng sẽ được đọc vào bộ nhớ hoặc được lưu vào đĩa. Giá trị 0
chỉ định độ dài ảnh chụp nhanh là 65535, để gói tin đầy đủ được ghi lại; đây là
mặc định.

Tùy chọn này có thể xảy ra nhiều lần. Nếu được sử dụng trước lần xuất hiện đầu tiên của -i
tùy chọn, nó đặt độ dài ảnh chụp nhanh mặc định. Nếu được sử dụng sau một -i tùy chọn, nó đặt
độ dài ảnh chụp nhanh cho giao diện được chỉ định bởi -i tùy chọn xảy ra trước
tùy chọn này. Nếu độ dài ảnh chụp nhanh không được đặt cụ thể, ảnh chụp nhanh mặc định
chiều dài được sử dụng nếu được cung cấp.

-S
Đặt dấu phân cách dòng sẽ được in giữa các gói.

-ta | ad | adoy | d | dd | e | r | u | ud | udoy
Đặt định dạng của nhãn thời gian gói được in trong các dòng tóm tắt. Định dạng có thể là
một trong:

a tuyệt đối: Giờ tuyệt đối, là giờ địa phương trong múi giờ của bạn, là thời gian thực tế
gói đã được chụp, không có ngày hiển thị

ad tuyệt đối với ngày: Ngày tuyệt đối, được hiển thị dưới dạng YYYY-MM-DD và thời gian, dưới dạng cục bộ
thời gian trong múi giờ của bạn, là ngày và giờ thực tế gói được bắt

người yêu tuyệt đối với ngày sử dụng ngày trong năm: Ngày tuyệt đối, được hiển thị là YYYY / DOY,
và thời gian, là giờ địa phương trong múi giờ của bạn, là ngày và giờ thực tế gói tin
bị bắt

d delta: Thời gian delta là thời gian kể từ khi gói tin trước đó được bắt

dd delta_displayed: Thời gian delta_displayed là thời gian kể từ lần hiển thị trước đó
gói đã được bắt

e kỷ nguyên: Thời gian tính bằng giây kể từ kỷ nguyên (1 tháng 1970 năm 00 00:00:XNUMX)

r tương đối: Thời gian tương đối là thời gian trôi qua giữa gói đầu tiên và
gói hiện tại

u UTC: Thời gian tuyệt đối, là UTC, là thời gian thực tế gói tin được bắt, không có
ngày hiển thị

ud UTC với ngày: Ngày tuyệt đối, được hiển thị là YYYY-MM-DD và thời gian, là UTC, là
thời gian và ngày thực tế gói được bắt

ngu xuẩn UTC với ngày sử dụng ngày trong năm: Ngày tuyệt đối, được hiển thị dưới dạng YYYY / DOY và
thời gian, là UTC, là ngày và giờ thực tế gói được bắt

Định dạng mặc định là tương đối.

-T các trường | pdml | ps | psml | văn bản
Đặt định dạng của đầu ra khi xem dữ liệu gói được giải mã. Các tùy chọn là một
của:

các lĩnh vực Giá trị của các trường được chỉ định với -e tùy chọn, trong một hình thức được chỉ định bởi
-E Lựa chọn. Ví dụ,

-T các trường -E dấu phân cách =, -E trích dẫn = d

sẽ tạo giá trị được phân tách bằng dấu phẩy (CSV) phù hợp để nhập vào
chương trình bảng tính yêu thích.

pml Ngôn ngữ đánh dấu chi tiết gói, một định dạng dựa trên XML cho các chi tiết của một
gói tin. Thông tin này tương đương với chi tiết gói được in bằng -V
cờ.

ps PostScript cho bản tóm tắt một dòng mà con người có thể đọc được của mỗi gói, hoặc
nhiều dòng xem chi tiết của từng gói, tùy thuộc vào việc -V
cờ đã được chỉ định.

pml Ngôn ngữ đánh dấu tóm tắt gói, định dạng dựa trên XML cho thông tin tóm tắt
của một gói được giải mã. Thông tin này tương đương với thông tin được hiển thị trong
bản tóm tắt một dòng được in theo mặc định.

văn bản Văn bản tóm tắt một dòng có thể đọc được của con người của mỗi gói hoặc nhiều dòng
xem chi tiết của từng gói, tùy thuộc vào việc -V cờ là
được chỉ định. Đây là mặc định.

-u
Chỉ định loại giây. Các lựa chọn hợp lệ là:

s trong vài giây

hms hàng giờ, phút và giây

-v In phiên bản và thoát.

-V nguyên nhân TShark để in một dạng xem chi tiết gói.

-w | -
Ghi dữ liệu gói thô vào ô uế hoặc với đầu ra tiêu chuẩn nếu ô uế Là '-'.

LƯU Ý: -w cung cấp dữ liệu gói thô, không phải văn bản. Nếu bạn muốn đầu ra văn bản, bạn cần
redirect stdout (ví dụ: sử dụng '>'), không sử dụng -w tùy chọn cho điều này.

-W
Lưu thông tin bổ sung trong tệp nếu định dạng hỗ trợ nó. Ví dụ,

-F pcapng -W n

sẽ lưu các bản ghi phân giải tên máy chủ lưu trữ cùng với các gói đã bắt được.

Các phiên bản tương lai của Wireshark có thể tự động thay đổi định dạng chụp thành pcapng as
cần thiết.

Đối số là một chuỗi có thể chứa ký tự sau:

n ghi thông tin phân giải địa chỉ mạng (chỉ pcapng)

-x Nguyên nhân TShark để in kết xuất hex và ASCII của dữ liệu gói sau khi in
tóm tắt và / hoặc chi tiết, nếu một trong hai cũng đang được hiển thị.

-X
Chỉ định một tùy chọn được chuyển đến TShark mô-đun. Tùy chọn eXtension nằm trong
hình thức khóa_phần mở rộng:giá trị, Nơi khóa_phần mở rộng có thể:

lua_script:lua_script_filename nói TShark để tải tập lệnh đã cho ngoài
các tập lệnh Lua mặc định.

lua_scriptnum:đối số nói TShark để chuyển đối số đã cho vào tập lệnh lua
được xác định bởi 'num', là số thứ tự được lập chỉ mục của lệnh 'lua_script'.
Ví dụ: nếu chỉ một tập lệnh được tải bằng '-X lua_script: my.lua', thì '-X
lua_script1: foo 'sẽ chuyển chuỗi' foo 'sang tập lệnh' my.lua '. Nếu hai tập lệnh
đã được tải, chẳng hạn như '-X lua_script: my.lua' và '-X lua_script: other.lua' trong đó
đặt hàng, sau đó một '-X lua_script2: bar' sẽ chuyển chuỗi 'bar' đến lua thứ hai
script, cụ thể là 'other.lua'.

định dạng đọc:định dạng tệp nói TShark sử dụng định dạng tệp nhất định để đọc trong tệp
(tệp được đưa ra trong -r tùy chọn lệnh). Cung cấp không định dạng tệp đối số, hoặc một
không hợp lệ, sẽ tạo ra một tệp có định dạng tệp có sẵn để sử dụng.

-y
Đặt loại liên kết dữ liệu để sử dụng trong khi bắt các gói. Các giá trị được báo cáo bởi -L đang
các giá trị có thể được sử dụng.

Tùy chọn này có thể xảy ra nhiều lần. Nếu được sử dụng trước lần xuất hiện đầu tiên của -i
tùy chọn, nó đặt loại liên kết chụp mặc định. Nếu được sử dụng sau một -i tùy chọn, nó thiết lập
loại liên kết nắm bắt cho giao diện được chỉ định bởi -i lựa chọn xảy ra
trước tùy chọn này. Nếu loại liên kết chụp không được đặt cụ thể, mặc định
loại liên kết chụp được sử dụng nếu được cung cấp.

-Y
Gây ra bộ lọc được chỉ định (sử dụng cú pháp của bộ lọc đọc / hiển thị, thay vì
của bộ lọc chụp) được áp dụng trước khi in một dạng gói đã được giải mã hoặc
ghi gói vào một tệp. Các gói phù hợp với bộ lọc được in hoặc ghi vào
tập tin; các gói mà các gói phù hợp phụ thuộc vào (ví dụ: các đoạn), không được in
nhưng được ghi vào tệp; các gói không phù hợp với bộ lọc cũng như không phụ thuộc vào
bị loại bỏ thay vì được in hoặc viết.

Sử dụng điều này thay vì -R để lọc bằng cách sử dụng phân tích một lần. Nếu thực hiện hai lần
phân tích (xem -2) thì chỉ các gói phù hợp với bộ lọc đọc (nếu có) mới được
đã kiểm tra bộ lọc này.

-z
Nhận TShark để thu thập các loại thống kê khác nhau và hiển thị kết quả sau
đọc xong tập tin chụp. Sử dụng -q gắn cờ nếu bạn đang đọc một tập tin chụp
và chỉ muốn các số liệu thống kê được in ra, không phải bất kỳ thông tin nào trên mỗi gói.

Lưu ý rằng -z do đó tùy chọn khác - nó không làm cho thống kê
được tập hợp và in ra khi quá trình chụp hoàn tất, nó sẽ sửa đổi gói thông thường
đầu ra tóm tắt để bao gồm các giá trị của các trường được chỉ định với tùy chọn. Vì vậy
bạn không được sử dụng -q tùy chọn, vì tùy chọn đó sẽ ngăn chặn việc in
đầu ra tóm tắt gói thông thường và cũng không được sử dụng -V tùy chọn, như vậy sẽ
gây ra thông tin chi tiết gói chứ không phải thông tin tóm tắt gói được in.

Số liệu thống kê được thực hiện hiện nay là:

-z giúp đỡ
Hiển thị tất cả các giá trị có thể có cho -z.

-z afp, srt [,lọc]
Hiển thị thống kê thời gian phản hồi của dịch vụ Giao thức nộp hồ sơ của Apple.

-z lạc đà, srt
-z đối chiếu,Bắt đầu,dừng lại,ttl [0 | 1],đặt hàng [0 | 1],không đúng[,lọc]
Nếu tùy chọn lọc được chỉ định, chỉ những gói phù hợp với bộ lọc sẽ
được sử dụng trong các tính toán.

-z chuyển đổi,kiểu[,lọc]
Tạo một bảng liệt kê tất cả các cuộc hội thoại có thể được nhìn thấy trong ảnh chụp.
kiểu chỉ định các loại điểm cuối hội thoại mà chúng tôi muốn tạo
số liệu thống kê; hiện tại những cái được hỗ trợ là:

Địa chỉ Bluetooth "bluetooth"
địa chỉ Ethernet "eth"
Địa chỉ kênh sợi quang "fc"
Địa chỉ FDDI "fddi"
địa chỉ IPv4 "ip"
Địa chỉ IPv6 "ipv6"
Địa chỉ IPX "ipx"
Địa chỉ tin nhắn JXTA "jxta"
Kết nối NCP "ncp"
Kết nối RSVP "rsvp"
Địa chỉ SCTP "sctp"
Cặp ổ cắm TCP / IP "tcp" Cả IPv4 và IPv6 đều được hỗ trợ
"tr" địa chỉ Token Ring
địa chỉ USB "usb"
Cặp ổ cắm UDP / IP "udp" Cả IPv4 và IPv6 đều được hỗ trợ
địa chỉ IEEE 802.11 "wlan"

Nếu tùy chọn lọc được chỉ định, chỉ những gói phù hợp với bộ lọc sẽ
được sử dụng trong các tính toán.

Bảng được trình bày với một dòng cho mỗi cuộc hội thoại và hiển thị số
của gói / byte theo mỗi hướng cũng như tổng số gói / byte.
Bảng được sắp xếp theo tổng số khung hình.

-z dcerpc, srt,uuid,chính.nhỏ[,lọc]
Thu thập dữ liệu SRT (Thời gian đáp ứng dịch vụ) cuộc gọi / trả lời cho giao diện DCERPC uuid,
phiên bản chính.nhỏ. Dữ liệu được thu thập là số lượng cuộc gọi cho mỗi thủ tục,
MinSRT, MaxSRT và AvgSRT.

Ví dụ: -z dcerpc,srt,12345778-1234-abcd-ef00-0123456789ac,1.0 sẽ thu thập dữ liệu
cho Giao diện CIFS SAMR.

Tùy chọn này có thể được sử dụng nhiều lần trên dòng lệnh.

Nếu tùy chọn lọc được cung cấp, số liệu thống kê sẽ chỉ được tính toán trên những
lệnh gọi phù hợp với bộ lọc đó.

Ví dụ: -z dcerpc,srt,12345778-1234-abcd-ef00-0123456789ac,1.0,ip.addr==1.2.3.4
sẽ thu thập số liệu thống kê SAMR SRT cho một máy chủ cụ thể.

-z bootp, stat [,lọc]
Hiển thị thống kê DHCP (BOOTP).

-z đường kính, avp [,cmd.code,lĩnh vực,lĩnh vực,...]
Tùy chọn này cho phép trích xuất hầu hết các trường đường kính quan trọng từ
chụp các tập tin. Chính xác một dòng văn bản cho mỗi thông báo đường kính với
đường kính.cmd.code sẽ được in.

Mã lệnh đường kính trống hoặc '*' có thể được chỉ định để mach bất kỳ đường kính.cmd.code

Ví dụ: -z đường kính, avp trích xuất bộ trường mặc định từ các thông báo đường kính.

Ví dụ: -z đường kính, trung bình, 280 trích xuất bộ trường mặc định từ đường kính DWR
tin nhắn.

Ví dụ: -z đường kính, trung bình, 272 trích xuất bộ trường mặc định từ các thông báo CC có đường kính.

Trích xuất hầu hết các trường quan trọng từ các thông báo CC đường kính:

cá mập -r tập tin.cap.gz -q -z
đường kính, trung bình, 272, CC-Loại-Yêu cầu, CC-Yêu cầu-Số, Phiên-Id, Đăng ký-Id-Dữ liệu, Nhóm Xếp hạng, Mã Kết quả

Các trường sau sẽ được in ra cho mỗi thông báo đường kính:

"frame" Số khung.
"time" Unix thời gian đến khung.
"src" Địa chỉ nguồn.
"srcport" Cổng nguồn.
"dst" Địa chỉ đích.
"dstport" Cổng đích.
"proto" Chuỗi không đổi 'đường kính', có thể được sử dụng để xử lý sau đối với đầu ra tshark. Ví dụ: grep / sed / awk.
"msgnr" seq. số lượng thông báo đường kính trong khung. Ví dụ: '2' cho thông báo đường kính thứ ba trong cùng một khung.
"is_request" '0' nếu tin nhắn là yêu cầu, '1' nếu tin nhắn là câu trả lời.
"cmd" radius.cmd_code, Ví dụ: '272' cho các thông báo kiểm soát tín dụng.
"req_frame" Số khung nơi tìm thấy yêu cầu phù hợp hoặc '0'.
"ans_frame" Số khung tìm thấy câu trả lời phù hợp hoặc '0'.
Thời gian phản hồi "resp_time" tính bằng giây, '0' trong trường hợp không tìm thấy Yêu cầu / Trả lời phù hợp. Ví dụ: khi bắt đầu hoặc kết thúc quá trình chụp.

-z đường kính, avp tùy chọn nhanh hơn nhiều so với -V -T văn bản or -T pml tùy chọn.

-z đường kính, avp tùy chọn mạnh mẽ hơn -T lĩnh vực và -z proto, colinfo
tùy chọn.

Nhiều thông báo đường kính trong một khung được hỗ trợ.

Một số trường có cùng tên trong một thông báo đường kính được hỗ trợ, ví dụ:
đường kính.Subscription-Id-Data or đường kính.Rating-Group.

Lưu ý: cá mập -q tùy chọn được khuyến nghị để loại bỏ mặc định cá mập đầu ra.

-z dns, cây [,lọc]
Tạo một bản tóm tắt về các gói DNS đã thu được. Thông tin chung được thu thập
chẳng hạn như phân phối qtype và qclass. Đối với một số dữ liệu (như độ dài qname hoặc DNS
trọng tải) giá trị tối đa, tối thiểu và trung bình cũng được hiển thị.

-z điểm cuối,kiểu[,lọc]
Tạo một bảng liệt kê tất cả các điểm cuối có thể nhìn thấy trong quá trình chụp. kiểu
chỉ định loại điểm cuối mà chúng tôi muốn tạo thống kê;
hiện tại những cái được hỗ trợ là:

Địa chỉ Bluetooth "bluetooth"
địa chỉ Ethernet "eth"
Địa chỉ kênh sợi quang "fc"
Địa chỉ FDDI "fddi"
địa chỉ IPv4 "ip"
Địa chỉ IPv6 "ipv6"
Địa chỉ IPX "ipx"
Địa chỉ tin nhắn JXTA "jxta"
Kết nối NCP "ncp"
Kết nối RSVP "rsvp"
Địa chỉ SCTP "sctp"
Cặp ổ cắm TCP / IP "tcp" Cả IPv4 và IPv6 đều được hỗ trợ
"tr" địa chỉ Token Ring
địa chỉ USB "usb"
Cặp ổ cắm UDP / IP "udp" Cả IPv4 và IPv6 đều được hỗ trợ
địa chỉ IEEE 802.11 "wlan"

Nếu tùy chọn lọc được chỉ định, chỉ những gói phù hợp với bộ lọc sẽ
được sử dụng trong các tính toán.

Bảng được trình bày với một dòng cho mỗi cuộc hội thoại và hiển thị số
của gói / byte theo mỗi hướng cũng như tổng số gói / byte.
Bảng được sắp xếp theo tổng số khung hình.

-z thạo[, lỗi |, cảnh báo |, ghi chú |, trò chuyện][,lọc]
Thu thập thông tin về tất cả thông tin chuyên gia và sẽ hiển thị chúng theo thứ tự,
được nhóm theo mức độ nghiêm trọng.

Ví dụ: -z chuyên gia, nhâm nhi sẽ hiển thị các mục chuyên gia ở tất cả các mức độ nghiêm trọng cho các khung
phù hợp với giao thức nhâm nhi.

Tùy chọn này có thể được sử dụng nhiều lần trên dòng lệnh.

Nếu tùy chọn lọc được cung cấp, số liệu thống kê sẽ chỉ được tính toán trên những
lệnh gọi phù hợp với bộ lọc đó.

Ví dụ: -z "chuyên gia, lưu ý, tcp" sẽ chỉ thu thập các mục chuyên gia cho các khung
bao gồm giao thức tcp, với mức độ nghiêm trọng của ghi chú hoặc cao hơn.

-z theo,Prot,chế độ,lọc[,phạm vi]
Hiển thị nội dung của luồng TCP hoặc UDP giữa hai nút. Dữ liệu được gửi bởi
nút thứ hai có tiền tố là một tab để phân biệt nó với dữ liệu được gửi bởi
nút đầu tiên.

Prot chỉ định giao thức truyền tải. Nó có thể là một trong số:

giao thức tcp
UDP UDP
sslSSL

chế độ chỉ định chế độ đầu ra. Nó có thể là một trong số:

ascii ASCII đầu ra với các dấu chấm cho các ký tự không in được
đầu ra ebcdic EBCDIC với các dấu chấm cho các ký tự không in được
Dữ liệu hệ thập lục phân và ASCII với các hiệu số
dữ liệu thập lục phân thô

Kể từ khi đầu ra trong ascii or bệnh hoạn chế độ có thể chứa các dòng mới, độ dài của mỗi dòng
phần đầu ra cộng với một dòng mới đứng trước mỗi phần đầu ra.

lọc chỉ định luồng sẽ được hiển thị. Luồng UDP / TCP được chọn với
chỉ số luồng hoặc địa chỉ IP cộng với các cặp cổng. Luồng SSL được chọn
với chỉ mục luồng. Ví dụ:

ip-addr0: port0, ip-addr1: port1
luồng-chỉ mục

phạm vi tùy chọn chỉ định "phần" của luồng sẽ được hiển thị.

Ví dụ: -z "theo dõi, tcp, hex, 1" sẽ hiển thị nội dung của luồng TCP đầu tiên
ở định dạng "hex".

============================================== =================
Theo: tcp, hex
Bộ lọc: tcp.stream eq 1
Nút 0: 200.57.7.197:32891
Nút 1: 200.57.7.198:2906
00000000 00 00 00 22 00 00 00 07 00 0a 85 02 07 e9 00 02 ... ”........
00000010 07 e9 06 0f 00 0d 00 04 00 00 00 01 00 03 00 06 ..............
00000020 1f 00 06 04 00 00 ......
00000000 00 01 00 00….
00000026 00 02 00 00

Ví dụ: -z "theo dõi, tcp, ascii, 200.57.7.197: 32891,200.57.7.198: 2906" sẽ hiển thị
nội dung của luồng TCP giữa cổng 200.57.7.197 cổng 32891 và cổng 200.57.7.98
2906.

============================================== =================
Theo: tcp, ascii
Bộ lọc: (bỏ qua để dễ đọc)
Nút 0: 200.57.7.197:32891
Nút 1: 200.57.7.198:2906
38
... ".....
................
4
....

-z h225, bộ đếm [,lọc]
Đếm tin nhắn ITU-T H.225 và lý do của chúng. Trong cột đầu tiên, bạn nhận được một danh sách
trong số thông báo H.225 và lý do thông báo H.225, xảy ra trong quá trình chụp hiện tại
tập tin. Số lần xuất hiện của mỗi thông báo hoặc lý do được hiển thị trong
cột thứ hai.

Ví dụ: -z h225, bộ đếm.

Nếu tùy chọn lọc được cung cấp, số liệu thống kê sẽ chỉ được tính toán trên những
lệnh gọi phù hợp với bộ lọc đó. Ví dụ: sử dụng -z "h225, bộ đếm, ip.addr == 1.2.3.4" đến
chỉ thu thập số liệu thống kê cho các gói H.225 được trao đổi bởi máy chủ lưu trữ tại địa chỉ IP 1.2.3.4.

Tùy chọn này có thể được sử dụng nhiều lần trên dòng lệnh.

-z h225, srt [,lọc]
Thu thập yêu cầu / phản hồi dữ liệu SRT (Thời gian đáp ứng dịch vụ) cho ITU-T H.225 RAS.
Dữ liệu được thu thập là số lượng cuộc gọi của mỗi Loại tin nhắn ITU-T H.225 RAS, Tối thiểu
SRT, SRT tối đa, SRT trung bình, tối thiểu trong gói và tối đa trong gói. Bạn sẽ
cũng nhận được số lượng Yêu cầu mở (Yêu cầu không được trả lời), Phản hồi bị hủy
(Phản hồi mà không có yêu cầu phù hợp) và Tin nhắn trùng lặp.

Ví dụ: -z h225, srt

Tùy chọn này có thể được sử dụng nhiều lần trên dòng lệnh.

Nếu tùy chọn lọc được cung cấp, số liệu thống kê sẽ chỉ được tính toán trên những
lệnh gọi phù hợp với bộ lọc đó.

Ví dụ: -z "h225, srt, ip.addr == 1.2.3.4" sẽ chỉ thu thập số liệu thống kê cho ITU-T H.225
Các gói RAS được máy chủ trao đổi tại địa chỉ IP 1.2.3.4.

-z máy chủ [, ipv4] [, ipv6]
Kết xuất mọi địa chỉ IPv4 và / hoặc IPv6 đã thu thập ở định dạng "máy chủ lưu trữ". Cả IPv4 và
Địa chỉ IPv6 được kết xuất theo mặc định.

Địa chỉ được thu thập từ một số nguồn, bao gồm các tệp "máy chủ lưu trữ" tiêu chuẩn
và thu thập lưu lượng truy cập.

-z hpfeeds, cây [,lọc]
Tính toán thống kê cho lưu lượng HPFEEDS chẳng hạn như xuất bản trên mỗi kênh và opcode
phân phối.

-z http, thống kê,
Tính toán phân phối thống kê HTTP. Các giá trị được hiển thị là trạng thái HTTP
mã và các phương thức yêu cầu HTTP.

-z http, cây
Tính toán phân phối gói HTTP. Các giá trị được hiển thị là yêu cầu HTTP
chế độ và mã trạng thái HTTP.

-z http_req, cây
Tính toán các yêu cầu HTTP theo máy chủ. Các giá trị được hiển thị là tên máy chủ và
đường dẫn URI.

-z http_srv, cây
Tính toán các yêu cầu HTTP và phản hồi của máy chủ. Đối với các yêu cầu HTTP,
các giá trị hiển thị là địa chỉ IP của máy chủ và tên máy chủ của máy chủ. Đối với HTTP
các phản hồi, các giá trị được hiển thị là địa chỉ IP và trạng thái của máy chủ.

-z icmp, srt [,lọc]
Tính toán tổng số yêu cầu phản hồi ICMP, phản hồi, mất mát và phần trăm mất mát, cũng như
thống kê SRT tối thiểu, tối đa, trung bình, trung bình và độ lệch chuẩn mẫu
điển hình của những gì ping cung cấp.

Ví dụ: -z icmp, srt, ip.src == 1.2.3.4 sẽ thu thập số liệu thống kê ICMP SRT cho ICMP
các gói yêu cầu echo bắt nguồn từ một máy chủ cụ thể.

Tùy chọn này có thể được sử dụng nhiều lần trên dòng lệnh.

-z icmpv6, srt [,lọc]
Tính toán tổng số yêu cầu phản hồi ICMPv6, phản hồi, mất mát và phần trăm mất mát, cũng như
thống kê SRT tối thiểu, tối đa, trung bình, trung bình và độ lệch chuẩn mẫu
điển hình của những gì ping cung cấp.

Ví dụ: -z icmpv6, srt, ipv6.src == fe80 :: 1 sẽ thu thập thống kê ICMPv6 SRT cho
Các gói yêu cầu echo ICMPv6 bắt nguồn từ một máy chủ cụ thể.

Tùy chọn này có thể được sử dụng nhiều lần trên dòng lệnh.

-z io, phs [,lọc]
Tạo thống kê phân cấp giao thức liệt kê cả số gói và byte. Nếu như
Không lọc được chỉ định thống kê sẽ được tính cho tất cả các gói. Nếu một
lọc là thống kê được chỉ định sẽ chỉ được tính cho những gói
phù hợp với bộ lọc.

Tùy chọn này có thể được sử dụng nhiều lần trên dòng lệnh.

-z io, thống kê,khoảng thời gian[,lọc] [,lọc] [,lọc] ...
Thu thập thống kê gói / byte để thu thập trong khoảng thời gian khoảng thời gian giây.
Khoảng thời gian có thể được chỉ định dưới dạng toàn bộ hoặc phân số giây và có thể là
được chỉ định với độ phân giải micro giây (chúng tôi). Nếu như khoảng thời gian là 0, thống kê sẽ
được tính trên tất cả các gói.

Nếu không lọc được chỉ định thống kê sẽ được tính cho tất cả các gói. Nếu như
một hoặc nhiều bộ lọc được chỉ định thống kê sẽ được tính toán cho tất cả các bộ lọc
và được trình bày với một cột thống kê cho mỗi bộ lọc.

Tùy chọn này có thể được sử dụng nhiều lần trên dòng lệnh.

Ví dụ: -z io, stat, 1, ip.addr == 1.2.3.4 sẽ tạo ra thống kê 1 giây cho tất cả
lưu lượng đến / từ máy chủ 1.2.3.4.

Ví dụ: -z "io, stat, 0.001, smb && ip.addr == 1.2.3.4" sẽ tạo ra thống kê 1ms cho
tất cả các gói SMB đến / từ máy chủ 1.2.3.4.

Các ví dụ ở trên đều sử dụng cú pháp chuẩn để tạo số liệu thống kê
chỉ tính số gói và byte trong mỗi khoảng thời gian.

io, thống kê cũng có thể thống kê và tính toán nhiều hơn nữa ĐẾM(), TỔNG(), MIN (),
MAX (), AVG () và TRỌNG TẢI() sử dụng cú pháp bộ lọc hơi khác:

-z io, stat,khoảng thời gian, "[COUNT | SUM | MIN | MAX | AVG | LOAD] (lĩnh vực)lọc"
LƯU Ý: Một điều quan trọng cần lưu ý ở đây là bộ lọc không phải là tùy chọn và
trường mà phép tính dựa trên PHẢI là một phần của chuỗi bộ lọc hoặc
tính toán sẽ thất bại.

Vì thế: -z io, stat, 0.010, AVG (smb.time) không hoạt động. Sử dụng -z
io, stat, 0.010, AVG (smb.time) smb.time thay thế. Cũng lưu ý rằng một trường có thể tồn tại
nhiều lần bên trong cùng một gói và sau đó sẽ được tính nhiều lần trong
những gói tin đó.

LƯU Ý: Điều quan trọng thứ hai cần lưu ý là cài đặt hệ thống cho số thập phân
dấu phân cách phải được đặt thành "."! Nếu nó được đặt thành "," thống kê sẽ không
hiển thị trên mỗi bộ lọc.

ĐẾM(lĩnh vực)lọc - Tính số lần trường tên (không phải của nó
giá trị) xuất hiện mỗi khoảng thời gian trong danh sách gói đã lọc. ''lĩnh vực'' có thể là bất kỳ
hiển thị tên bộ lọc.

Ví dụ: -z io, stat, 0.010, "COUNT (smb.sid) smb.sid"

Điều này sẽ đếm tổng số SID được nhìn thấy trong mỗi khoảng thời gian 10ms.

TỔNG(lĩnh vực)lọc - Không giống như COUNT, giá trị của trường được chỉ định được tính tổng cho mỗi
Khoảng thời gian. ''lĩnh vực'' chỉ có thể là một số nguyên được đặt tên, float, double hoặc tương đối
trường thời gian.

Ví dụ: -z io, stat, 0.010, "SUM (frame.len) frame.len"

Báo cáo tổng số byte đã được truyền hai chiều trong tất cả
các gói trong khoảng thời gian 10 mili giây.

MIN / MAX / AVG (lĩnh vực)lọc - Giá trị trường tối thiểu, tối đa hoặc trung bình trong mỗi
khoảng thời gian được tính toán. Trường được chỉ định phải là một số nguyên được đặt tên, float,
trường thời gian gấp đôi hoặc tương đối. Đối với các trường thời gian tương đối, kết quả được trình bày
tính bằng giây với độ chính xác sáu chữ số thập phân được làm tròn đến gần nhất
micro giây.

Trong ví dụ sau, thời gian của lệnh gọi Read_AndX đầu tiên, Read_AndX cuối cùng
các giá trị phản hồi được hiển thị và phản hồi Đọc tối thiểu, tối đa và trung bình
thời gian (SRT) được tính toán. LƯU Ý: Nếu tiếp tục dòng lệnh shell của DOS
ký tự, '' ^ '' được sử dụng, mỗi dòng không được kết thúc bằng dấu phẩy nên nó được đặt ở
đầu mỗi dòng tiếp tục:

tshark -o tcp.desegment_tcp_streams: FALSE -n -q -r smb_reads.cap -z io, stat, 0,
"MIN (frame.time_relative) frame.time_relative và smb.cmd == 0x2e và smb.flags.response == 0",
"MAX (frame.time_relative) frame.time_relative và smb.cmd == 0x2e và smb.flags.response == 1",
"MIN (smb.time) smb.time và smb.cmd == 0x2e",
"MAX (smb.time) smb.time và smb.cmd == 0x2e",
"AVG (smb.time) smb.time và smb.cmd == 0x2e"

================================================= ================================================= ==
Thống kê IO
Cột # 0: MIN (frame.time_relative) frame.time_relative và smb.cmd == 0x2e và smb.flags.response == 0
Cột # 1: MAX (frame.time_relative) frame.time_relative và smb.cmd == 0x2e và smb.flags.response == 1
Cột # 2: MIN (smb.time) smb.time và smb.cmd == 0x2e
Cột # 3: MAX (smb.time) smb.time và smb.cmd == 0x2e
Cột # 4: AVG (smb.time) smb.time và smb.cmd == 0x2e
| Cột # 0 | Cột số 1 | Cột số 2 | Cột số 3 | Cột số 4 |
Thời gian | PHÚT | TỐI ĐA | PHÚT | TỐI ĐA | AVG |
000.000- 0.000000 7.704054 0.000072 0.005539 0.000295
================================================= ================================================= ==

Lệnh sau hiển thị kích thước PDU phản hồi đọc SMB trung bình, tổng
số byte PDU đã đọc, kích thước PDU yêu cầu ghi SMB trung bình và tổng số
số byte được chuyển trong SMB Viết PDU:

tshark -n -q -r smb_reads_writes.cap -z io, stat, 0,
"AVG (smb.file.rw.length) smb.file.rw.length và smb.cmd == 0x2e và smb.response_to",
"SUM (smb.file.rw.length) smb.file.rw.length và smb.cmd == 0x2e và smb.response_to",
"AVG (smb.file.rw.length) smb.file.rw.length và smb.cmd == 0x2f chứ không phải smb.response_to",
"SUM (smb.file.rw.length) smb.file.rw.length và smb.cmd == 0x2f chứ không phải smb.response_to"

================================================== ===================================
Thống kê IO
Cột # 0: AVG (smb.file.rw.length) smb.file.rw.length và smb.cmd == 0x2e và smb.response_to
Cột # 1: SUM (smb.file.rw.length) smb.file.rw.length và smb.cmd == 0x2e và smb.response_to
Cột # 2: AVG (smb.file.rw.length) smb.file.rw.length và smb.cmd == 0x2f chứ không phải smb.response_to
Cột # 3: SUM (smb.file.rw.length) smb.file.rw.length và smb.cmd == 0x2f chứ không phải smb.response_to
| Cột # 0 | Cột số 1 | Cột số 2 | Cột số 3 |
Thời gian | AVG | SUM | AVG | SUM |
000.000- 30018 28067522 72 3240
================================================== ===================================

TRỌNG TẢI(lĩnh vực)lọc - TẢI / Hàng đợi-Độ sâu trong mỗi khoảng thời gian được tính toán. Các
trường được chỉ định phải là trường thời gian tương đối đại diện cho thời gian phản hồi.
Ví dụ smb.time. Đối với mỗi khoảng thời gian, Độ sâu hàng đợi cho
giao thức được tính toán.

Lệnh sau đây hiển thị SMB LOAD trung bình. Giá trị 1.0 đại diện cho
một I / O trong chuyến bay.

tshark -n -q -r smb_reads_writes.cap
-z "io, stat, 0.001, TẢI (smb.time) smb.time"

================================================== ==========================
Thống kê IO
Khoảng thời gian: 0.001000 giây
Cột # 0: TẢI (smb.time) smb.time
| Cột # 0 |
Thời gian | TẢI |
0000.000000-0000.001000 1.000000
0000.001000-0000.002000 0.741000
0000.002000-0000.003000 0.000000
0000.003000-0000.004000 1.000000

KHUNG | BYTES [()lọc] - Hiển thị tổng số khung hình hoặc byte. Các
trường bộ lọc là tùy chọn nhưng nếu được bao gồm, nó phải được thêm vào trước bằng '' () ''.

Lệnh sau hiển thị năm cột: tổng số khung và byte
(được chuyển hai chiều) bằng cách sử dụng một dấu phẩy, hai số liệu thống kê giống nhau bằng cách sử dụng
FRAMES và BYTES lệnh con, tổng số khung chứa ít nhất một
SMB Đọc phản hồi và tổng số byte được truyền đến máy khách
(một chiều) tại địa chỉ IP 10.1.0.64.

tshark -o tcp.desegment_tcp_streams: FALSE -n -q -r smb_reads.cap -z io, stat, 0,, FRAMES, BYTES,
"FRAMES () smb.cmd == 0x2e và smb.response_to", "BYTES () ip.dst == 10.1.0.64"

================================================== ================================================== ===================
Thống kê IO
Cột # 0:
Cột số 1: KHUNG HÌNH
Cột số 2: BYTES
Cột # 3: FRAMES () smb.cmd == 0x2e và smb.response_to
Cột # 4: BYTES () ip.dst == 10.1.0.64
| Cột # 0 | Cột số 1 | Cột số 2 | Cột số 3 | Cột số 4 |
Thời gian | Khung | Số byte | KHUNG HÌNH | BYTES | KHUNG HÌNH | BYTES |
000.000- 33576 29721685 33576 29721685 870 29004801
================================================== ================================================== ===================

-z mac-lte, stat [,lọc]
Tùy chọn này sẽ kích hoạt bộ đếm cho các tin nhắn LTE MAC. Bạn sẽ nhận được
thông tin về số lượng tối đa của UE / TTI, các thông báo phổ biến và các
bộ đếm cho mỗi UE xuất hiện trong nhật ký.

Ví dụ: -z mac-lte, stat.

Tùy chọn này có thể được sử dụng nhiều lần trên dòng lệnh.

Nếu tùy chọn lọc được cung cấp, số liệu thống kê sẽ chỉ được tính cho những
khung phù hợp với bộ lọc đó. Thí dụ: -z "mac-lte, stat, mac-lte.rnti3000 "> sẽ
chỉ thu thập số liệu thống kê cho các UE có RNTI được chỉ định có giá trị lớn hơn 3000.

-z megaco, rtd [,lọc]
Thu thập yêu cầu / dữ liệu RTD (Độ trễ thời gian đáp ứng) cho MEGACO. (Đây là
tương tự như -z smb, srt). Dữ liệu được thu thập là số lượng cuộc gọi cho mỗi cuộc gọi đã biết
Loại MEGACO, MinRTD, MaxRTD và AvgRTD. Ngoài ra, bạn nhận được số lượng
yêu cầu / phản hồi trùng lặp, yêu cầu chưa được hồi đáp, phản hồi không khớp
với bất kỳ yêu cầu nào. Thí dụ: -z megaco, rtd.

Nếu tùy chọn lọc được cung cấp, số liệu thống kê sẽ chỉ được tính toán trên những
lệnh gọi phù hợp với bộ lọc đó. Thí dụ: -z "megaco, rtd, ip.addr == 1.2.3.4" sẽ chỉ
thu thập số liệu thống kê cho các gói MEGACO được trao đổi bởi máy chủ lưu trữ tại địa chỉ IP 1.2.3.4.

Tùy chọn này có thể được sử dụng nhiều lần trên dòng lệnh.

-z mgcp, rtd [,lọc]
Thu thập yêu cầu / phản hồi dữ liệu RTD (Độ trễ thời gian đáp ứng) cho MGCP. (Đây là
tương tự như -z smb, srt). Dữ liệu được thu thập là số lượng cuộc gọi cho mỗi MGCP đã biết
Loại, MinRTD, MaxRTD và AvgRTD. Ngoài ra, bạn nhận được số lượng bản sao
yêu cầu / phản hồi, yêu cầu chưa được hồi đáp, phản hồi không khớp với bất kỳ
yêu cầu. Thí dụ: -z mgcp, rtd.

Tùy chọn này có thể được sử dụng nhiều lần trên dòng lệnh.

Nếu tùy chọn lọc được cung cấp, số liệu thống kê sẽ chỉ được tính toán trên những
lệnh gọi phù hợp với bộ lọc đó. Thí dụ: -z "mgcp, rtd, ip.addr == 1.2.3.4" sẽ chỉ
thu thập số liệu thống kê cho các gói MGCP được trao đổi bởi máy chủ lưu trữ tại địa chỉ IP 1.2.3.4.

-z proto, colinfo,lọc,lĩnh vực
Nối tất cả lĩnh vực các giá trị cho gói vào cột Thông tin của tóm tắt một dòng
đầu ra. Tính năng này có thể được sử dụng để nối các trường tùy ý vào cột Thông tin trong
bổ sung vào nội dung bình thường của cột đó. lĩnh vực là tên bộ lọc hiển thị
của một trường mà giá trị sẽ được đặt trong cột Thông tin. lọc là một bộ lọc
chuỗi kiểm soát gói nào mà giá trị trường sẽ được trình bày trong
cột thông tin. lĩnh vực sẽ chỉ được trình bày trong cột Thông tin cho các gói
khớp lọc.

LƯU Ý: Để TShark để có thể giải nén lĩnh vực giá trị từ gói,
lĩnh vực PHẢI là một phần của lọc chuỗi. Nếu không, TShark sẽ không thể
trích xuất giá trị của nó.

Ví dụ đơn giản để thêm trường "nfs.fh.hash" vào cột Thông tin cho tất cả
các gói chứa trường "nfs.fh.hash", sử dụng

-z proto, colinfo, nfs.fh.hash, nfs.fh.hash

Để đặt "nfs.fh.hash" trong cột Thông tin nhưng chỉ dành cho các gói đến từ máy chủ
1.2.3.4 sử dụng:

-z "proto, colinfo, nfs.fh.hash && ip.src == 1.2.3.4, nfs.fh.hash "

Tùy chọn này có thể được sử dụng nhiều lần trên dòng lệnh.

-z rlc-lte, stat [,lọc]
Tùy chọn này sẽ kích hoạt bộ đếm các tin nhắn LTE RLC. Bạn sẽ nhận được
thông tin về các thông báo chung và các bộ đếm khác nhau cho từng UE xuất hiện trong
nhật ký.

Ví dụ: -z rlc-lte, stat.

Tùy chọn này có thể được sử dụng nhiều lần trên dòng lệnh.

Nếu tùy chọn lọc được cung cấp, số liệu thống kê sẽ chỉ được tính cho những
khung phù hợp với bộ lọc đó. Thí dụ: -z "rlc-lte, stat, rlc-lte.ueid3000 "> sẽ
chỉ thu thập số liệu thống kê cho các UE có UEId hơn 3000.

-z rpc, chương trình
Thu thập dữ liệu SRT cuộc gọi / trả lời cho tất cả các chương trình / phiên bản ONC-RPC đã biết. Dữ liệu
được thu thập là số lượng cuộc gọi cho mỗi giao thức / phiên bản, MinSRT, MaxSRT và AvgSRT.
Tùy chọn này chỉ có thể được sử dụng một lần trên dòng lệnh.

-z rpc, srt,chương trình,phiên bản[,lọc]
Thu thập dữ liệu SRT (Thời gian đáp ứng dịch vụ) cuộc gọi / trả lời cho chương trình/phiên bản. Dữ liệu
được thu thập là số lượng cuộc gọi cho mỗi thủ tục, MinSRT, MaxSRT, AvgSRT và
tổng thời gian thực hiện cho mỗi thủ tục.

Ví dụ: -z rpc, srt, 100003,3 sẽ thu thập dữ liệu cho NFS v3.

Tùy chọn này có thể được sử dụng nhiều lần trên dòng lệnh.

Nếu tùy chọn lọc được cung cấp, số liệu thống kê sẽ chỉ được tính toán trên những
lệnh gọi phù hợp với bộ lọc đó.

Ví dụ: -z rpc, srt, 100003,3, nfs.fh.hash == 0x12345678 sẽ thu thập NFS v3 SRT
thống kê cho một tệp cụ thể.

-z rtp, suối
Thu thập số liệu thống kê cho tất cả các luồng RTP và tính toán giá trị tối đa. đồng bằng, tối đa. và nghĩa là
jitter và phần trăm mất gói.

-z scsi, srt,lệnh ghép ngắn[,lọc]
Thu thập dữ liệu SRT (Thời gian đáp ứng dịch vụ) cuộc gọi / trả lời cho bộ lệnh SCSI lệnh ghép ngắn.

Các tập lệnh là 0: SBC 1: SSC 5: MMC

Dữ liệu được thu thập là số lượng cuộc gọi cho mỗi thủ tục, MinSRT, MaxSRT và
AvgSRT

Ví dụ: -z scsi, srt, 0 sẽ thu thập dữ liệu cho các LỆNH KHỐI SCSI (SBC).

Tùy chọn này có thể được sử dụng nhiều lần trên dòng lệnh.

Nếu tùy chọn lọc được cung cấp, số liệu thống kê sẽ chỉ được tính toán trên những
lệnh gọi phù hợp với bộ lọc đó.

Ví dụ: -z scsi, srt, 0, ip.addr == 1.2.3.4 sẽ thu thập số liệu thống kê SCSI SBC SRT cho một
máy chủ lưu trữ iscsi / ifcp / fcip cụ thể.

-z nhâm nhi, thống kê [,lọc]
Tùy chọn này sẽ kích hoạt bộ đếm cho các tin nhắn SIP. Bạn sẽ nhận được số lượng
sự xuất hiện của mỗi Phương pháp SIP và của mỗi Mã trạng thái SIP. Ngoài ra bạn cũng
lấy số lượng Tin nhắn SIP được gửi lại (chỉ dành cho SIP qua UDP).

Ví dụ: -z nhâm nhi, thống kê.

Tùy chọn này có thể được sử dụng nhiều lần trên dòng lệnh.

Nếu tùy chọn lọc được cung cấp, số liệu thống kê sẽ chỉ được tính toán trên những
lệnh gọi phù hợp với bộ lọc đó. Thí dụ: -z "nhâm nhi, stat, ip.addr == 1.2.3.4" sẽ chỉ
thu thập số liệu thống kê cho các gói SIP được trao đổi bởi máy chủ lưu trữ tại địa chỉ IP 1.2.3.4.

-z smb, sids
Khi tính năng này được sử dụng TShark sẽ in một báo cáo với tất cả SID được phát hiện
và ánh xạ tên tài khoản. Chỉ những SID có tên tài khoản mới biết
được trình bày trong bảng.

Để tính năng này hoạt động, bạn sẽ cần phải bật
"Chỉnh sửa / Tùy chọn / Giao thức / SMB / Snoop SID để đặt tên cho ánh xạ" trong tùy chọn hoặc
bạn có thể ghi đè các tùy chọn bằng cách chỉ định -o "smb.sid_name_snooping: TRUE" on
các TShark dòng lệnh.

Phương pháp hiện tại được sử dụng bởi TShark để tìm ánh xạ tên SID-> tương đối
bị hạn chế với hy vọng mở rộng trong tương lai.

-z smb, srt [,lọc]
Thu thập dữ liệu SRT (Thời gian đáp ứng dịch vụ) cuộc gọi / trả lời cho SMB. Dữ liệu được thu thập là
số lượng lệnh gọi cho mỗi lệnh SMB, MinSRT, MaxSRT và AvgSRT.

Ví dụ: -z smb, srt

Dữ liệu sẽ được trình bày dưới dạng các bảng riêng biệt cho tất cả các lệnh SMB thông thường, tất cả
Các lệnh Transaction2 và tất cả các lệnh Giao dịch NT. Chỉ những lệnh đó
được nhìn thấy trong ảnh chụp sẽ hiển thị số liệu thống kê của nó. Chỉ lệnh đầu tiên trong
một chuỗi lệnh xAndX sẽ được sử dụng trong tính toán. Vì vậy, cho chung
Chuỗi SessionSetupAndX + TreeConnectAndX, chỉ lệnh gọi SessionSetupAndX mới là
được sử dụng trong các số liệu thống kê. Đây là một lỗ hổng có thể được sửa chữa trong tương lai.

Tùy chọn này có thể được sử dụng nhiều lần trên dòng lệnh.

Nếu tùy chọn lọc được cung cấp, số liệu thống kê sẽ chỉ được tính toán trên những
lệnh gọi phù hợp với bộ lọc đó.

Ví dụ: -z "smb, srt, ip.addr == 1.2.3.4" sẽ chỉ thu thập số liệu thống kê cho các gói SMB
được trao đổi bởi máy chủ lưu trữ tại địa chỉ IP 1.2.3.4.

--capture-comment
Thêm nhận xét chụp vào tệp đầu ra.

Tùy chọn này chỉ khả dụng nếu tệp đầu ra mới ở định dạng pcapng được tạo.
Chỉ một nhận xét chụp có thể được đặt cho mỗi tệp đầu ra.

- giao thức vô hiệu hóa
Tắt tính năng mổ xẻ của proto_name.

--enable-heuristic
Cho phép phân tích giao thức heuristic.

- vô hiệu hóa-heuristic
Vô hiệu hóa phân tích giao thức heuristic.

YÊU CẦU LỌC TỔNG HỢP

Xem trang hướng dẫn sử dụng của bộ lọc pcap(7) hoặc, nếu điều đó không tồn tại, tcpdump(8), hoặc, nếu điều đó
không tồn tại, .

ĐỌC LỌC TỔNG HỢP

Để có bảng đầy đủ các trường giao thức và giao thức có thể lọc trong TShark xem
bộ lọc Wirehark(4) trang hướng dẫn sử dụng.

Sử dụng tshark trực tuyến bằng các dịch vụ onworks.net