SSブログ
Ubuntu,Wireshark ブログトップ
前の1件 | -

Wireshark(Tshark)のpcapファイルを使ってみよう(No.4) [Ubuntu,Wireshark]

前回のNo.3では、column.formatの項目について書きました。
今回は、column.formatの%Cusの使い方について書きます。
%Cus",   /* 8) COL_CUSTOM */
%Cusを使うと、Display Filterの内容を表示することができます。
ここでDisplay Filterの詳細を見ることができます。
例えば、ソースIPアドレスはip.srcで表現できます。

では、%Cusを使って表示してみましょう。
Frame_Number -- %Cus:frame.number
Frame_Time ---- %Cus:frame.time_relative
IP_src -------- %Cus:ip.src
IP_dst -------- %Cus:ip.dst
Protocol ------ %Cus:ip.proto
TCP_srcport --- %Cus:tcp.srcport
TCP_dstport --- %Cus:tcp.dstport
HTTP_Host ----- %Cus:http.host
HTTP_Uri ------ %Cus:http.request.uri

コマンドで表すと、以下のようになります。
sudo tshark -r packet_201106091826.pcap -o column.format:'"Frame_Number", "%Cus:frame.number","Frame_Time","%Cus:frame.time_relative","IP_src","%Cus:ip.src","IP_dst","%Cus:ip.dst","Protocol","%Cus:ip.proto","TCP_srcport","%Cus:tcp.srcport","TCP_dstport","%Cus:tcp.dstport","HTTP_Host","%Cus:http.host","HTTP_Uri","%Cus:http.request.uri"' -Ttext
※Windowsの場合は、「'」(シングルコーテーション)は「"」(ダブルコーテーション)にしてください。

実行すると、以下のように表示されます。
194 11.921872000 192.168.11.5 202.238.95.65 TCP 3185 80 www.so-net.ne.jp /

%Cusを使うことで、キャプチャデータの中から必要な情報を表示することができるので、とっても便利です。
ぜひ、活用してみてください。

次回をお楽しみに!!

前の1件 | - Ubuntu,Wireshark ブログトップ

この広告は前回の更新から一定期間経過したブログに表示されています。更新すると自動で解除されます。