我正在尝试使用 tshark 来保存通过接口的所有数据包的运行历史记录,比如说 30 秒。我希望它是人类可读的。
这是一台 Linux 机器,而且由于不需要对 netstack 源代码进行太多改动(如果情况紧急我可以这样做),我想知道是否可以使用 tshark 来实现这一点。
tshark 有一个 -b duration:10 -b files:2,我可以使用它来生成一组旋转的 2 个文件,但我不知道它以哪种格式打印文件或如何读取它。
答案1
正在节省pcap 格式,使用 tshark、wireshark、tcpdump 等读取它。要使用 tshark 读取文件,请执行tshark -r filename。