snmp trap & display printable text using tshark

Question

У меня есть файл pcap, содержащий тонны пакетов snmp.

Я хотел бы экспортировать эти пакеты в файл, но в качестве текста для печати так же, как мы можем это сделать, используя wirehark. Щелкните пакет -> щелкните правой кнопкой мыши -> копировать -> Байт -> Только текст для печати.

Я огляделся и нашел, что tshark может это сделать, но вам нужно указать имя поля, и это то, что у меня есть проблема. Я не могу понять, какое поле следует использовать.

Например, если я укажу «tshark -Tfields -e snmp.data -r tcpdump.pcap», тогда я собираюсь получить количество элементов в списке данных и не печатать текст.

This post было интересно, но data.data кажется неработающим для ловушек snmp.

Еще одна попытка, которую я сделал, это «tshark -Tfields -e snmp.variable_bindings -r tcpdump.pcap», но это также не отображает никаких байтов или печатаемого текста.

Надеюсь, кто-то может помочь.

Answer 1

Я наконец нашел ответ.

Поле для использования было snmp.value.octets.

Итак, финальная команда - «tshark -V -Tfields -e snmp.value.octets -r tcpdump.pcap», и это будет печатать октеты.

Осталось преобразовать октеты в печатный символ с использованием внешнего скрипта.

Надеюсь, что это поможет кому-нибудь в той же ситуации.