简化`tcpdump`输出

Question

我想转换这个tcpdump输出：

IP 10.10.10.1 > 20.20.20.1: ICMP echo request, id 8312, seq 0, length 64
IP 10.10.10.1.17441 > 20.20.20.1.22: Flags [S], seq 3936449810, win 65535, options [mss 1460,nop,wscale 6,sackOK,TS[|tcp]>

至：

IP 10.10.10.1 > 20.20.20.1: ICMP
IP 10.10.10.1.17441 > 20.20.20.1.22: tcp

我使用cut命令试图用shell脚本来隐藏它们，但我做不到。

谢谢大家的帮助。

Answer 1

使用awk (或GNU gawk)，将字段分隔符FS设置为":“，并假设转储位于test.txt中：

gawk 'BEGIN{ FS=":" } { if($0 ~ / ICMP /){ print $1 ": ICMP" }else if($0 ~ /tcp[]]>/){ print $1 ": tcp" } }' test.txt

预期结果：

IP 10.10.10.1 > 20.20.20.1: ICMP
IP 10.10.10.1.17441 > 20.20.20.1.22: tcp

tcpdump输出可以通过管道传输到gawk，如

tcpdump <options> | gawk ' ... '

Answer 2

严格来说，这是一个cut方法。它假设您的输出将始终是这种格式。如前所述，sed (或awk)版本可能更动态。

其主要部分是-d (定界符)参数和-f (字段)参数。-f可以指定由指定分隔符分隔的单个字段或字段范围(我认为选项卡是默认的)。

如果您的输出位于一个名为output.txt的文件中，您可以使用这个小脚本。

line1="$(head -1 output.txt | cut -d ' ' -f1-5)"
line2="$(tail -1 output.txt | cut -d ' ' -f1-4) $(tail -1 output.txt | cut -d '|' -f2 | cut -d "]" -f1)"

echo "$line1"
echo "$line2"

如果您的输出存储在一个名为output的变量中，则可以将此脚本与作为像./script.sh "$output"这样的参数发送的变量一起使用。

arg="$1"
line1="$(echo "$arg" | head -1 | cut -d ' ' -f1-5)"
line2="$(echo "$arg" | tail -1 | cut -d ' ' -f1-4) $(echo "$arg" | tail -1 | cut -d '|' -f2 | cut -d "]" -f1)"

echo "$line1"
echo "$line2"

输出：

IP 10.10.10.1 > 20.20.20.1: ICMP
IP 10.10.10.1.17441 > 20.20.20.1.22: tcp