dns.count.answers> 3 Tshark

On Tshark;dns.count.answers> 3 Tshark

我试图运行这个命令“tshark -r /root/Desktop/a.pcap -T fields -e”dns.count.answers> 3“”但是我总是看到; “（process：2009）：警告：'dns.count.answers> 3'不是有效的字段！tshark：有些字段无效”

你有什么想法我怎么能看到“dns .count.answers> 3“，然后将其输出为cvs。文件。

非常感谢。

来源

2017-07-27 alfrego129

Tshark的-e选项预计字段作为参数;然而，“dns.count.answers>3”不是一个字段，而是一个显示过滤器。显示过滤器使用-Y选项指定。

你可能寻找的是这样的：

tshark -r /root/Desktop/a.pcap -Y "dns.count.answers > 3" -T fields -e dns.count.answers

来源

2017-07-27 20:20:14

非常感谢你; – alfrego129

我真的很困惑，因为我试图保存它，当我尝试“tshark -r /root/Desktop/a.pcap -T fields -e ip.dst -E header = y -E separator =，/ root/Desktop /em.csv“它可以保存成功，我可以看到ip号码。没关系。所以根据这部分，我有权写入root/Desktop。但是，当我尝试“tshark -r /root/Desktop/a.pcap -T fields -e dns.count.answers -Y”dns.count.answers> 3“-E header = y -E separator =，> /root/Desktop/em.csv“文件被保存，但它是空的。也没有“> /root/Desktop/x.csv”它的作品，我可以看到数字。 – alfrego129

如果您有任何想法，请让我知道:) – alfrego129

dns.count.answers> 3 Tshark

回答

相关问题