例子
tshark -i 3 -Y "websocket" -a duration:60 -T pdml >E est.xml
-Y: -Y <display filter>,使用读取过滤器的语法,在单次分析中可以代替-R选项;
-i: -i <interface> 指定捕获接口,默认是第一个非本地循环接口;可以先用"tshark -D" 查看对应的网卡对应的值
-a: -a <autostop cond.> ... duration:NUM,在num秒之后停止捕获;
filesize:NUM,在numKB之后停止捕获;
files:NUM,在捕获num个文件之后停止捕获;
-T: -T pdml|ps|text|fields|psml,设置解码结果输出的格式,包括text,ps,psml和pdml,默认为text
.bat
set FILTERSTR="(src 192.168.1.165 and dst 192.168.1.120) or (src 192.168.1.120 and dst 192.168.1.165)"
set DURATIONTIME=60
set OUTPUT=ss.xml
c:
cd C:Program FilesWireshark
echo %cd%
Tshark -i 3 -Y "websocket" -f %FILTERSTR% -a duration:%DURATIONTIME% -T pdml > %OUTPUT%
endlocal