问tshark停止准则
EN

Stack Overflow用户

提问于 2012-05-16 18:54:07

回答 1查看 1.1K关注 0票数 3

在满足一定条件后，我需要停止tshark (wireshark的命令行equi )。

从tshark手册页中，我发现停止条件可以应用于持续时间、文件、文件大小和多文件模式。

是否有任何停止条件，我可以通过捕获过滤器应用，以便tshark停止捕获。

例如:在接收到来自特定端口号的TCP SYN数据包时(捕获过滤器中应用的条件)，tshark停止捕获。

请回答这个谜语。

发布于 2017-01-24 04:43:39

您可以通过管道将输出发送到head，并选择与查询匹配的第一帧，但您还需要禁用输出缓冲(stdbuf是coreutils的一部分)

例如(Linux)

stdbuf -i0 -o0 -e0 tshark -r file.pcap -Y 'sctp.verification_tag == 0x2552' | head -1

Mac：

gstdbuf -i0 -o0 -e0 tshark -r file.pcap  -Y 'tcp.flags.syn == 1 && tcp.port == 80' | head -1

票数 0

页面原文内容由Stack Overflow提供。腾讯云小微IT领域专用引擎提供翻译支持

原文链接：

https://stackoverflow.com/questions/10617047

复制

相似问题

问tshark停止准则EN