dns.count.answers›3

На Царке;

Я пытаюсь запустить эту команду «tshark -r /root/Desktop/a.pcap -T fields -e «dns.count.answers>3»», однако я всегда вижу; " (процесс: 2009): ПРЕДУПРЕЖДЕНИЕ: "dns.count.answers>3" не является допустимым полем! tshark: некоторые поля недействительны"

Есть ли у вас какие-либо идеи о том, как я могу увидеть «dns.count.answers> 3» на tshark, а затем вывести его как cvs. файл.

Большое спасибо.


dns count tshark
person alfrego129    schedule 27.07.2017    source источник

Ответы (1)


arrow_upward
0
arrow_downward

параметр -e Tshark ожидает поле как аргумент; однако "dns.count.answers>3" — это не поле, а фильтр отображения. Фильтры отображения задаются с помощью параметра -Y.

Вероятно, вы ищете что-то вроде этого:

tshark -r /root/Desktop/a.pcap -Y "dns.count.answers > 3" -T fields -e dns.count.answers
person Christopher Maynard    schedule 27.07.2017
comment
Я действительно запутался, потому что пытаюсь сохранить его, и когда я пытаюсь tshark -r /root/Desktop/a.pcap -T fields -e ip.dst -E header=y -E separator=, ›/root/Desktop/em .csv он успешно сохраняется, и я вижу IP-номера. Все хорошо. Итак, в соответствии с этой частью у меня есть разрешение на запись root/Desktop. Однако, когда я пытаюсь использовать tshark -r /root/Desktop/a.pcap -T fields -e dns.count.answers -Y dns.count.answers › 3 -E header=y -E separator=, ›/root/Desktop /em.csv файл сохраняется, но он пустой. Так же и без › /root/Desktop/x.csv работает и цифры вижу. - person alfrego129; 28.07.2017
comment
если у вас есть какие-либо идеи, пожалуйста, дайте мне знать :) - person alfrego129; 28.07.2017
comment
Вы считаете это правильным, tshark -r /root/Desktop/a.pcap -T fields -e ip.dst -E header=y -E separator=, ›/root/Desktop/em.csv - person alfrego129; 28.07.2017