TShark字段名

Question

Hi如下图所示，是使用"tshark -i mon0“从-i输出的

0.000000 e4:6e:d1:a4:21:3e ->广播802.11 251个信标帧，SN=2145，FN=0，Flags=........C，BI=100，SSID=AndroidAP 0.191876 8c:65:a1:df:2e:d2 ->广播802.11 98数据，SN=2091，FN=0，Flags=.p....F.C 0.368961 0c:55:2c:7b:25:b0 ->广播802.11 249个灯塔帧，SN=3120，FN=0，Flags=........C，BI=100，SSID=ASUS 5G 0.373837 Wisol_76:51:10 ->广播802.11 98探针请求，SN=646，FN=0，Flags=........C，SSID=ASUS_5G 0.447529 Wisol_76:51:10 ->广播802.11 196个探测请求，SN=649，FN=0，Flags=........C，SSID=ASUS_5G

我正在使用"-T字段“字段函数输出我想要的字段，比如"tshark -i mon0 -T field -e wlan.fc.type -e wlan.fc -e wlan.fc.type_subtype”。

但是，我希望从tshark的标准输出中获取字段字符串(Beacon 、Data、Probe Request)。我能知道我应该使用什么命令吗。？

Answer 1

可以使用-o 'gui.column.format:...'选项指定所需的列。如果您运行tshark -G column-formats，您将了解要使用的格式，并且在底部列出了一个基本示例，尽管它目前没有为自定义列提供一个示例。

那么，对于您的特定用例，即“t鲨-i mon0 -T field -e wlan.fc.type -e wlan.fc -e wlan.fc.type_subtype"，下面的命令可能会给您提供更接近您想要的东西：

tshark -i mon0 -o 'gui.column.format:"No.","%m","Type","%Cus:wlan.fc.type","Frame Control","%Cus:wlan.fc","Subtype","%Cus:wlan.fc.type_subtype"'