0
tshark предоставляет фильтры -R и -Y, в чем разница между фильтром чтения -R и фильтром отображения -Y. Я использовал параметр -Y для применения фильтра для получения подмножества журналов при преобразовании их в pdml (xml) для дальнейшей обработки.Wireshark tshark -R vs -Y опция фильтра
tshark -r source.pcap -Y "(s1ap.procedureCode == 13 && nas_eps.nas_msg_emm_type == 0x5e)" -T pdml > filtered_xml.xml
Это прекрасно работает при сборке окон. Однако -Y - недопустимая опция для сборки linux.
mymachine{66}$ tshark -v
TShark 1.8.10 (SVN Rev Unknown from unknown)
- чем разница между
-Yи-Rопции фильтра? - В сборке linux я не вижу опцию
-Y, что эквивалентно, что можно использовать?
С tshark -h на окнах
-R <read filter> packet Read filter in Wireshark display filter syntax
-Y <display filter> packet displaY filter in Wireshark display filter