tshark からの出力を再編成すると思います -T fields を使用 それははるかに簡単です。私はあなたが望むものを達成することができました:
$ tshark -r blah.pcap -T fields -e frame.len -e ip.src | sort -k 1n | tail -5
92 10.0.2.2
92 10.0.2.2
92 10.0.2.2
100 10.0.2.15
156 10.0.2.15
tshark フィールド
このコマンドを使用して、すべてのフィールドのリストを取得できます:
$ tshark -G field
しかし、私はそれを読むのが少し難しいと感じました。 -G field の列を理解したい場合 tshark - ネットワーク トラフィックのダンプと分析:
* Header Fields
* -------------
* Field 1 = 'F'
* Field 2 = descriptive field name
* Field 3 = field abbreviation
* Field 4 = type (textual representation of the ftenum type)
* Field 5 = parent protocol abbreviation
* Field 6 = base for display (for integer types); "parent bitfield width" for FT_BOOLEAN
* Field 7 = bitmask: format: hex: 0x....
* Field 8 = blurb describing field
この grep を使用できます 勇気がある場合は、出力をフィルタリングします:
$ tshark -G fields | grep -P '\s+(ip.src|frame.len)\s+'
F Frame length on the wire frame.len FT_UINT32 frame BASE_DEC 0x0
F Source ip.src FT_IPv4 ip 0x0
参考文献
- ここにリンクの説明を入力
- tshark のチュートリアルとフィルターの例
- tshark を使用した PCAP ファイル内の IP の出現数のカウント
- tshark を使用した特定の IP アドレス表示フィルター