Wireshark(Tshark)のpcapファイルを使ってみよう(No.3) [Ubuntu,Wireshark]
No.2ではcolumn.formatを使った表示例を書きました。
では、column.formatで表示できる項目には何があるのでしょうか?
調べて見ましたが、なかなか見つからない。
仕方がないので、ソースコードを見てみることに。
column.cにありました。
Feild typeは以下のように書かれています。
const gchar *slist[] = {
%q", /* 0) COL_8021Q_VLAN_ID */
%Yt", /* 1) COL_ABS_DATE_TIME */
%At", /* 2) COL_ABS_TIME */
%c", /* 3) COL_CIRCUIT_ID */
%Xd", /* 4) COL_DSTIDX */
%Xs", /* 5) COL_SRCIDX */
%V", /* 6) COL_VSAN */
%B", /* 7) COL_CUMULATIVE_BYTES */
%Cus", /* 8) COL_CUSTOM */
%y", /* 9) COL_DCE_CALL */
%z", /* 10) COL_DCE_CTX */
%Tt", /* 11) COL_DELTA_TIME */
%dct", /* 12) COL_DELTA_CONV_TIME */
%Gt", /* 13) COL_DELTA_TIME_DIS */
%rd", /* 14) COL_RES_DST */
%ud", /* 15) COL_UNRES_DST */
%rD", /* 16) COL_RES_DST_PORT */
%uD", /* 17) COL_UNRES_DST_PORT */
%d", /* 18) COL_DEF_DST */
%D", /* 19) COL_DEF_DST_PORT */
%a", /* 20) COL_EXPERT */
%I", /* 21) COL_IF_DIR */
%XO", /* 22) COL_OXID */
%XR", /* 23) COL_RXID */
%C", /* 24) !! DEPRECATED !! - COL_FR_DLCI */
%F", /* 25) COL_FREQ_CHAN */
%l", /* 26) !! DEPRECATED !! - COL_BSSGP_TLLI */
%P", /* 27) !! DEPRECATED !! - COL_HPUX_DEVID */
%H", /* 28) !! DEPRECATED !! - COL_HPUX_SUBSYS */
%hd", /* 29) COL_DEF_DL_DST */
%hs", /* 30) COL_DEF_DL_SRC */
%rhd", /* 31) COL_RES_DL_DST */
%uhd", /* 32) COL_UNRES_DL_DST */
%rhs", /* 33) COL_RES_DL_SRC*/
%uhs", /* 34) COL_UNRES_DL_SRC */
%e", /* 35) COL_RSSI */
%x", /* 36) COL_TX_RATE */
%f", /* 37) COL_DSCP_VALUE */
%i", /* 38) COL_INFO */
%U", /* 39) !! DEPRECATED !! - COL_COS_VALUE */
%rnd", /* 40) COL_RES_NET_DST */
%und", /* 41) COL_UNRES_NET_DST */
%rns", /* 42) COL_RES_NET_SRC */
%uns", /* 43) COL_UNRES_NET_SRC */
%nd", /* 44) COL_DEF_NET_DST */
%ns", /* 45) COL_DEF_NET_SRC */
%m", /* 46) COL_NUMBER */
%L", /* 47) COL_PACKET_LENGTH */
%p", /* 48) COL_PROTOCOL */
%Rt", /* 49) COL_REL_TIME */
"%rct", /* 50) !! DEPRECATED !! - COL_REL_CONV_TIME */
"%s", /* 51) COL_DEF_SRC */
"%S", /* 52) COL_DEF_SRC_PORT */
"%rs", /* 53) COL_RES_SRC */
"%us", /* 54) COL_UNRES_SRC */
"%rS", /* 55) COL_RES_SRC_PORT */
"%uS", /* 56) COL_UNRES_SRC_PORT */
"%E", /* 57) COL_TEI */
"%t", /* 58) COL_CLS_TIME */
};
Titleは以下のように書かれています。
static const gchar *dlist[NUM_COL_FMTS] = {
"802.1Q VLAN id", /* 0) COL_8021Q_VLAN_ID */
"Absolute date and time", /* 1) COL_ABS_DATE_TIME */
"Absolute time", /* 2) COL_ABS_TIME */
"Circuit ID", /* 3) COL_CIRCUIT_ID */
"Cisco Dst PortIdx", /* 4) COL_DSTIDX */
"Cisco Src PortIdx", /* 5) COL_SRCIDX */
"Cisco VSAN", /* 6) COL_VSAN */
"Cumulative Bytes" , /* 7) COL_CUMULATIVE_BYTES */
"Custom", /* 8) COL_CUSTOM */
"DCE/RPC call (cn_call_id / dg_seqnum)", /* 9) COL_DCE_CALL */
"DCE/RPC context ID (cn_ctx_id)", /* 10) COL_DCE_CTX */
"Delta time", /* 11) COL_DELTA_TIME */
"Delta time (conversation)", /* 12) COL_DELTA_CONV_TIME */
"Delta time displayed", /* 13) COL_DELTA_TIME_DIS */
"Dest addr (resolved)", /* 14) COL_RES_DST */
"Dest addr (unresolved)", /* 15) COL_UNRES_DST */
"Dest port (resolved)", /* 16) COL_RES_DST_PORT */
"Dest port (unresolved)", /* 17) COL_UNRES_DST_PORT */
"Destination address", /* 18) COL_DEF_DST */
"Destination port", /* 19) COL_DEF_DST_PORT */
"Expert Info Severity", /* 20) COL_EXPERT */
"FW-1 monitor if/direction", /* 21) COL_IF_DIR */
"Fibre Channel OXID", /* 22) COL_OXID */
"Fibre Channel RXID", /* 23) COL_RXID */
"Frame Relay DLCI", /* 24) !! DEPRECATED !! - COL_FR_DLCI */
"Frequency/Channel", /* 25) COL_FREQ_CHAN */
"GPRS BSSGP TLLI", /* 26) !! DEPRECATED !! - COL_BSSGP_TLLI */
"HP-UX Device ID", /* 27) !! DEPRECATED !! - COL_HPUX_DEVID */
"HP-UX Subsystem", /* 28) !! DEPRECATED !! - COL_HPUX_SUBSYS */
"Hardware dest addr", /* 29) COL_DEF_DL_DST */
"Hardware src addr", /* 30) COL_DEF_DL_SRC */
"Hw dest addr (resolved)", /* 31) COL_RES_DL_DST */
"Hw dest addr (unresolved)", /* 32) COL_UNRES_DL_DST */
"Hw src addr (resolved)", /* 33) COL_RES_DL_SRC*/
"Hw src addr (unresolved)", /* 34) COL_UNRES_DL_SRC */
"IEEE 802.11 RSSI", /* 35) COL_RSSI */
"IEEE 802.11 TX rate", /* 36) COL_TX_RATE */
"IP DSCP Value", /* 37) COL_DSCP_VALUE */
"Information", /* 38) COL_INFO */
"L2 COS Value (802.1p)", /* 39) !! DEPRECATED !! - COL_COS_VALUE */
"Net dest addr (resolved)", /* 40) COL_RES_NET_DST */
"Net dest addr (unresolved)", /* 41) COL_UNRES_NET_DST */
"Net src addr (resolved)", /* 42) COL_RES_NET_SRC */
"Net src addr (unresolved)", /* 43) COL_UNRES_NET_SRC */
"Network dest addr", /* 44) COL_DEF_NET_DST */
"Network src addr", /* 45) COL_DEF_NET_SRC */
"Number", /* 46) COL_NUMBER */
"Packet length (bytes)" , /* 47) COL_PACKET_LENGTH */
"Protocol", /* 48) COL_PROTOCOL */
"Relative time", /* 49) COL_REL_TIME */
"Relative time (conversation)", /* 50) !! DEPRECATED !! - COL_REL_CONV_TIME */
"Source address", /* 51) COL_DEF_SRC */
"Source port", /* 52) COL_DEF_SRC_PORT */
"Src addr (resolved)", /* 53) COL_RES_SRC */
"Src addr (unresolved)", /* 54) COL_UNRES_SRC */
"Src port (resolved)", /* 55) COL_RES_SRC_PORT */
"Src port (unresolved)", /* 56) COL_UNRES_SRC_PORT */
"TEI", /* 57) COL_TEI */
"Time (format as specified)" /* 58) COL_CLS_TIME */
};
これで以下のコマンドでは、何を表示するのか簡単にわかりますね。
sudo tshark -r packet_201106091826.pcap -o column.format:'"Number", "%m","Time","%t","Source", "%s","Destination","%d","Protocol","%p","Src port","%S","Dst port","%D","Info","%i"' -Ttext
※Windowsの場合は、「'」(シングルコーテーション)は「"」(ダブルコーテーション)にしてください。
また、Timeは%tを使っていますが、%Atでも%Ytでも構いません。
%tの場合、56.058003のようになりますし、%Atなら18:26:23.983990、さらに%Ytなら2011-06-09 18:26:23.983990のように表示されます。
いかがでしたか。
次回は%Cus:について簡単に書きたいと思います。
お楽しみに!!
では、column.formatで表示できる項目には何があるのでしょうか?
調べて見ましたが、なかなか見つからない。
仕方がないので、ソースコードを見てみることに。
column.cにありました。
Feild typeは以下のように書かれています。
const gchar *slist[] = {
%q", /* 0) COL_8021Q_VLAN_ID */
%Yt", /* 1) COL_ABS_DATE_TIME */
%At", /* 2) COL_ABS_TIME */
%c", /* 3) COL_CIRCUIT_ID */
%Xd", /* 4) COL_DSTIDX */
%Xs", /* 5) COL_SRCIDX */
%V", /* 6) COL_VSAN */
%B", /* 7) COL_CUMULATIVE_BYTES */
%Cus", /* 8) COL_CUSTOM */
%y", /* 9) COL_DCE_CALL */
%z", /* 10) COL_DCE_CTX */
%Tt", /* 11) COL_DELTA_TIME */
%dct", /* 12) COL_DELTA_CONV_TIME */
%Gt", /* 13) COL_DELTA_TIME_DIS */
%rd", /* 14) COL_RES_DST */
%ud", /* 15) COL_UNRES_DST */
%rD", /* 16) COL_RES_DST_PORT */
%uD", /* 17) COL_UNRES_DST_PORT */
%d", /* 18) COL_DEF_DST */
%D", /* 19) COL_DEF_DST_PORT */
%a", /* 20) COL_EXPERT */
%I", /* 21) COL_IF_DIR */
%XO", /* 22) COL_OXID */
%XR", /* 23) COL_RXID */
%C", /* 24) !! DEPRECATED !! - COL_FR_DLCI */
%F", /* 25) COL_FREQ_CHAN */
%l", /* 26) !! DEPRECATED !! - COL_BSSGP_TLLI */
%P", /* 27) !! DEPRECATED !! - COL_HPUX_DEVID */
%H", /* 28) !! DEPRECATED !! - COL_HPUX_SUBSYS */
%hd", /* 29) COL_DEF_DL_DST */
%hs", /* 30) COL_DEF_DL_SRC */
%rhd", /* 31) COL_RES_DL_DST */
%uhd", /* 32) COL_UNRES_DL_DST */
%rhs", /* 33) COL_RES_DL_SRC*/
%uhs", /* 34) COL_UNRES_DL_SRC */
%e", /* 35) COL_RSSI */
%x", /* 36) COL_TX_RATE */
%f", /* 37) COL_DSCP_VALUE */
%i", /* 38) COL_INFO */
%U", /* 39) !! DEPRECATED !! - COL_COS_VALUE */
%rnd", /* 40) COL_RES_NET_DST */
%und", /* 41) COL_UNRES_NET_DST */
%rns", /* 42) COL_RES_NET_SRC */
%uns", /* 43) COL_UNRES_NET_SRC */
%nd", /* 44) COL_DEF_NET_DST */
%ns", /* 45) COL_DEF_NET_SRC */
%m", /* 46) COL_NUMBER */
%L", /* 47) COL_PACKET_LENGTH */
%p", /* 48) COL_PROTOCOL */
%Rt", /* 49) COL_REL_TIME */
"%rct", /* 50) !! DEPRECATED !! - COL_REL_CONV_TIME */
"%s", /* 51) COL_DEF_SRC */
"%S", /* 52) COL_DEF_SRC_PORT */
"%rs", /* 53) COL_RES_SRC */
"%us", /* 54) COL_UNRES_SRC */
"%rS", /* 55) COL_RES_SRC_PORT */
"%uS", /* 56) COL_UNRES_SRC_PORT */
"%E", /* 57) COL_TEI */
"%t", /* 58) COL_CLS_TIME */
};
Titleは以下のように書かれています。
static const gchar *dlist[NUM_COL_FMTS] = {
"802.1Q VLAN id", /* 0) COL_8021Q_VLAN_ID */
"Absolute date and time", /* 1) COL_ABS_DATE_TIME */
"Absolute time", /* 2) COL_ABS_TIME */
"Circuit ID", /* 3) COL_CIRCUIT_ID */
"Cisco Dst PortIdx", /* 4) COL_DSTIDX */
"Cisco Src PortIdx", /* 5) COL_SRCIDX */
"Cisco VSAN", /* 6) COL_VSAN */
"Cumulative Bytes" , /* 7) COL_CUMULATIVE_BYTES */
"Custom", /* 8) COL_CUSTOM */
"DCE/RPC call (cn_call_id / dg_seqnum)", /* 9) COL_DCE_CALL */
"DCE/RPC context ID (cn_ctx_id)", /* 10) COL_DCE_CTX */
"Delta time", /* 11) COL_DELTA_TIME */
"Delta time (conversation)", /* 12) COL_DELTA_CONV_TIME */
"Delta time displayed", /* 13) COL_DELTA_TIME_DIS */
"Dest addr (resolved)", /* 14) COL_RES_DST */
"Dest addr (unresolved)", /* 15) COL_UNRES_DST */
"Dest port (resolved)", /* 16) COL_RES_DST_PORT */
"Dest port (unresolved)", /* 17) COL_UNRES_DST_PORT */
"Destination address", /* 18) COL_DEF_DST */
"Destination port", /* 19) COL_DEF_DST_PORT */
"Expert Info Severity", /* 20) COL_EXPERT */
"FW-1 monitor if/direction", /* 21) COL_IF_DIR */
"Fibre Channel OXID", /* 22) COL_OXID */
"Fibre Channel RXID", /* 23) COL_RXID */
"Frame Relay DLCI", /* 24) !! DEPRECATED !! - COL_FR_DLCI */
"Frequency/Channel", /* 25) COL_FREQ_CHAN */
"GPRS BSSGP TLLI", /* 26) !! DEPRECATED !! - COL_BSSGP_TLLI */
"HP-UX Device ID", /* 27) !! DEPRECATED !! - COL_HPUX_DEVID */
"HP-UX Subsystem", /* 28) !! DEPRECATED !! - COL_HPUX_SUBSYS */
"Hardware dest addr", /* 29) COL_DEF_DL_DST */
"Hardware src addr", /* 30) COL_DEF_DL_SRC */
"Hw dest addr (resolved)", /* 31) COL_RES_DL_DST */
"Hw dest addr (unresolved)", /* 32) COL_UNRES_DL_DST */
"Hw src addr (resolved)", /* 33) COL_RES_DL_SRC*/
"Hw src addr (unresolved)", /* 34) COL_UNRES_DL_SRC */
"IEEE 802.11 RSSI", /* 35) COL_RSSI */
"IEEE 802.11 TX rate", /* 36) COL_TX_RATE */
"IP DSCP Value", /* 37) COL_DSCP_VALUE */
"Information", /* 38) COL_INFO */
"L2 COS Value (802.1p)", /* 39) !! DEPRECATED !! - COL_COS_VALUE */
"Net dest addr (resolved)", /* 40) COL_RES_NET_DST */
"Net dest addr (unresolved)", /* 41) COL_UNRES_NET_DST */
"Net src addr (resolved)", /* 42) COL_RES_NET_SRC */
"Net src addr (unresolved)", /* 43) COL_UNRES_NET_SRC */
"Network dest addr", /* 44) COL_DEF_NET_DST */
"Network src addr", /* 45) COL_DEF_NET_SRC */
"Number", /* 46) COL_NUMBER */
"Packet length (bytes)" , /* 47) COL_PACKET_LENGTH */
"Protocol", /* 48) COL_PROTOCOL */
"Relative time", /* 49) COL_REL_TIME */
"Relative time (conversation)", /* 50) !! DEPRECATED !! - COL_REL_CONV_TIME */
"Source address", /* 51) COL_DEF_SRC */
"Source port", /* 52) COL_DEF_SRC_PORT */
"Src addr (resolved)", /* 53) COL_RES_SRC */
"Src addr (unresolved)", /* 54) COL_UNRES_SRC */
"Src port (resolved)", /* 55) COL_RES_SRC_PORT */
"Src port (unresolved)", /* 56) COL_UNRES_SRC_PORT */
"TEI", /* 57) COL_TEI */
"Time (format as specified)" /* 58) COL_CLS_TIME */
};
これで以下のコマンドでは、何を表示するのか簡単にわかりますね。
sudo tshark -r packet_201106091826.pcap -o column.format:'"Number", "%m","Time","%t","Source", "%s","Destination","%d","Protocol","%p","Src port","%S","Dst port","%D","Info","%i"' -Ttext
※Windowsの場合は、「'」(シングルコーテーション)は「"」(ダブルコーテーション)にしてください。
また、Timeは%tを使っていますが、%Atでも%Ytでも構いません。
%tの場合、56.058003のようになりますし、%Atなら18:26:23.983990、さらに%Ytなら2011-06-09 18:26:23.983990のように表示されます。
いかがでしたか。
次回は%Cus:について簡単に書きたいと思います。
お楽しみに!!
コメント 0