我正在使用“-T 字段”通过 tshark 将流量捕获到 CSV 文件中,但无论我如何尝试,我都无法获得良好的 ISO 日期,甚至无法将时区更改为 UTC。
我使用的命令是
tshark.exe -i 2 -c 1 -T fields -e frame.time
这让我
Capturing on 'Realtek PCIe FE Family Controller'
May 20, 2016 13:46:03.565211000 Hora oficial do Brasil
我尝试添加
- -o column.format:"时间,%Yut"
- -t 广告
- -t ud
即使“-t d”和“-t r”也不会改变格式。
我在安装了葡萄牙语(pt-BR)操作系统的 Windows 机器中运行 tshark,即使我将日期语言在英语和葡萄牙语之间更改,我得到的只是日期和时区之间这种奇怪的语言混合。
看来 Windows 下的 tshark 忽略了所有格式化日期的选项。
我其实不需要 ISO 日期,但我需要一个可以用 logstash 中的 date{} 过滤器解析的日期。它几乎可以解析我得到的日期,但它无法处理“Hora oficial do Brasil”,我无法将其从 time.frame 文本中移除。
更新:我发现在 Ubuntu 上“-t”参数也不起作用。在那里,tshark 使用与 Windows 相同的格式打印日期/时间部分,但它从不打印时区名称/偏移/id。即使这是一个错误,Unix 行为也会解决我的问题...
答案1
目前,我还不可能做我想做的事。
Wireshark Bug Database 上发布了针对此功能的增强请求。
#10220 - 向 tshark -T 字段(FT_ABSOLUTE_TIME 类型字段)添加 ISO 8601 日期格式选项