Как добавить дополнительный столбец к выходу Tshark (при сохранении по умолчанию)?

Question

Я хотел бы добавить столбец Tshark, который сообщает мне, какой тип ICMP-пакета был захвачен. Это было бы следующим: icmp.type

Хотя мне все еще нужны столбцы по умолчанию, как я могу заставить Tshark показать это?

Я уже видел возможность работать с полями -T и -e, но тогда все столбцы по умолчанию не учитываются.

Answer 1

Вы можете добавить столбцы по умолчанию и использовать, например:
tshark -i 1 -T поля -e -e frame.number frame.time -e -e eth.src eth.dst -e frame.protocols - e_ws.col.Protocol -e _ws.col.Info -e icmp.type -E header = y> output.csv

Для получения дополнительной информации см. tshark -h или man-page.