pcap到csv的104asdu协议，字段为noframe、lenframe、apdulen、rx、tx、type、typeid、causetx、ioa、numix、oa

Question

如何用精确的字段将pcap转换为csv？我已经用tshark,试过了，但是所有的数据都在输入。我需要在asdu104协议上使用它，所以我使用-O。这是我的命令。

tshark -r dataset.pcap -O iec60870_asdu -T fields -e frame.number -e frame.len -e iec60870_104.apdulen -e iec60870_104.type -e iec60870_104.tx -e iec60870_104.rx -e iec60870_asdu.typeid -e iec60870_asdu.causetx -e iec60870_asdu.ioa -e iec60870_asdu.numix -e iec60870_asdu.oa -E header=y -E separator=, > output.csv

有人知道怎么做吗，还是我做错了？

Answer 1

如果我理解正确的话，那么“但是所有的数据都会进入”，您的意思是除了iec60870_asdu之外，您还获得了其他协议的输出，并且您只想要该协议的输出。假设是这样的话，您应该只需要对tshark命令进行很小的更改。关键是要应用筛选器，以便只有与iec60870_asdu匹配的数据包才会出现在结果中。这是使用-Y选项而不是-O选项完成的。因此，修改后的命令如下：

tshark -r dataset.pcap -Y iec60870_asdu -T fields -e frame.number -e frame.len -e iec60870_104.apdulen -e iec60870_104.type -e iec60870_104.tx -e iec60870_104.rx -e iec60870_asdu.typeid -e iec60870_asdu.causetx -e iec60870_asdu.ioa -e iec60870_asdu.numix -e iec60870_asdu.oa -E header=y -E separator=, > output.csv

正如在-T选项下的tshark man page中所提到的，您可能还希望将-E quote=d选项添加到命令中。