CSV输出文件,使用命令行进行wireshark IO图形统计
我使用wireshark GUI将IO图形统计数据保存为包含每秒位数的CSV文件。有没有办法用命令行tshark生成这个CSV文件?我可以在命令行上以每秒字节数的形式生成统计信息,如下所示 tshark-nr test.pcap-q-z io,stat,1,字节 如何生成位/秒并将其保存到CSV文件CSV输出文件,使用命令行进行wireshark IO图形统计,csv,wireshark,pcap,tshark,Csv,Wireshark,Pcap,Tshark,我使用wireshark GUI将IO图形统计数据保存为包含每秒位数的CSV文件。有没有办法用命令行tshark生成这个CSV文件?我可以在命令行上以每秒字节数的形式生成统计信息,如下所示 tshark-nr test.pcap-q-z io,stat,1,字节 如何生成位/秒并将其保存到CSV文件 非常感谢您的帮助。我不知道只使用tshark的方法,但您可以轻松地将tshark的输出解析为CSV文件: tshark -nr tmp.pcap -q -z io,stat,1,BYTES | gr
非常感谢您的帮助。我不知道只使用tshark的方法,但您可以轻松地将tshark的输出解析为CSV文件:
tshark -nr tmp.pcap -q -z io,stat,1,BYTES | grep -P "\d+\s+<>\s+\d+\s*\|\s+\d+" | awk -F '[ |]+' '{print $2","($5*8)}'
我不知道只使用tshark的方法,但您可以轻松地将tshark的输出解析为CSV文件:
tshark -nr tmp.pcap -q -z io,stat,1,BYTES | grep -P "\d+\s+<>\s+\d+\s*\|\s+\d+" | awk -F '[ |]+' '{print $2","($5*8)}'
另一件可能很好的事情是: 如果将间隔从1秒更改为0.5秒,则必须允许。在grep部分中添加\。在两位数之间\d 否则,结果将是空的*.csv文件
grep -P "\d{1,2}\.{1}\d{1,2}\s+<>\s+\d{1,2}\.{1}\d{1,2}\s*\|\s+\d+"
另一件可能很好的事情是: 如果将间隔从1秒更改为0.5秒,则必须允许。在grep部分中添加\。在两位数之间\d 否则,结果将是空的*.csv文件
grep -P "\d{1,2}\.{1}\d{1,2}\s+<>\s+\d{1,2}\.{1}\d{1,2}\s*\|\s+\d+"
这个帖子中的答案给了我解决tshark io stats类似问题的关键,我想分享结果以及它是如何工作的。在我的例子中,任务是转换数据中可能包含小数的tshark io stat记录的多列。这个答案将多个数据列转换为csv,添加基本的标题,在字段和可变的空格数中使用小数 完整命令字符串 tshark-r capture.pcapng-q-z io,stat,30,FRAMES,BYTES,FRAMESip.src==10.10.10,BYTESip.src==10.10.10.10,FRAMESip.dst==10.10.10,BYTESip.dst==10.10.10.10\ |grep-P\d+\.?\d*\s+\s+\\区间+\\\ |tr-d | tr |,| sed-E的/,/;s/^,|,$//g;s/Interval/Start、Stop/g'>somefile.csv 解释 命令字符串有3个主要部分 tshark使用列中的数据创建报告 使用grep提取所需的行 使用tr和sed将grep匹配的记录转换为csv分隔的文件。 第1部分:tshark使用列中的数据创建报告 tshark使用-z io运行,每隔30秒统计一次,使用各种过滤器计算帧和字节 tshark-r capture.pcapng-q-z io,stat,30,FRAMES,BYTES,FRAMESip.src==10.10.10,BYTESip.src==10.10.10.10,FRAMESip.dst==10.10.10,BYTESip.dst==10.10.10.10 以下是针对我的测试pcap文件运行时的输出:
=================================================================================================
| IO Statistics |
| |
| Duration: 179.179180 secs |
| Interval: 30 secs |
| |
| Col 1: Frames and bytes |
| 2: FRAMES |
| 3: BYTES |
| 4: FRAMES()ip.src == 10.10.10.10 |
| 5: BYTES()ip.src == 10.10.10.10 |
| 6: FRAMES()ip.dst == 10.10.10.10 |
| 7: BYTES()ip.dst == 10.10.10.10 |
|-----------------------------------------------------------------------------------------------|
| |1 |2 |3 |4 |5 |6 |7 |
| Interval | Frames | Bytes | FRAMES | BYTES | FRAMES | BYTES | FRAMES | BYTES |
|-----------------------------------------------------------------------------------------------|
| 0 <> 30 | 107813 | 120111352 | 107813 | 120111352 | 26682 | 15294257 | 80994 | 104808983 |
| 30 <> 60 | 122437 | 124508575 | 122437 | 124508575 | 49331 | 17080888 | 73017 | 107422509 |
| 60 <> 90 | 138999 | 135488315 | 138999 | 135488315 | 54829 | 22130920 | 84029 | 113348686 |
| 90 <> 120 | 158241 | 217781653 | 158241 | 217781653 | 42103 | 15870237 | 115971 | 201901201 |
| 120 <> 150 | 111708 | 131890800 | 111708 | 131890800 | 43709 | 18800647 | 67871 | 113082296 |
| 150 <> Dur | 123736 | 142639416 | 123736 | 142639416 | 50754 | 22053280 | 72786 | 120574520 |
=================================================================================================
这个帖子中的答案给了我解决tshark io stats类似问题的关键,我想分享结果以及它是如何工作的。在我的例子中,任务是转换数据中可能包含小数的tshark io stat记录的多列。这个答案将多个数据列转换为csv,添加基本的标题,在字段和可变的空格数中使用小数 完整命令字符串 tshark-r capture.pcapng-q-z io,stat,30,FRAMES,BYTES,FRAMESip.src==10.10.10,BYTESip.src==10.10.10.10,FRAMESip.dst==10.10.10,BYTESip.dst==10.10.10.10\ |grep-P\d+\.?\d*\s+\s+\\区间+\\\ |tr-d | tr |,| sed-E的/,/;s/^,|,$//g;s/Interval/Start、Stop/g'>somefile.csv 解释 命令字符串有3个主要部分 tshark使用列中的数据创建报告 使用grep提取所需的行 使用tr和sed将grep匹配的记录转换为csv分隔的文件。 第1部分:tshark使用列中的数据创建报告 tshark使用-z io运行,每隔30秒统计一次,使用各种过滤器计算帧和字节 tshark-r capture.pcapng-q-z io,stat,30,FRAMES,BYTES,FRAMESip.src==10.10.10,BYTESip.src==10.10.10.10,FRAMESip.dst==10.10.10,BYTESip.dst==10.10.10.10 以下是针对我的测试pcap文件运行时的输出:
=================================================================================================
| IO Statistics |
| |
| Duration: 179.179180 secs |
| Interval: 30 secs |
| |
| Col 1: Frames and bytes |
| 2: FRAMES |
| 3: BYTES |
| 4: FRAMES()ip.src == 10.10.10.10 |
| 5: BYTES()ip.src == 10.10.10.10 |
| 6: FRAMES()ip.dst == 10.10.10.10 |
| 7: BYTES()ip.dst == 10.10.10.10 |
|-----------------------------------------------------------------------------------------------|
| |1 |2 |3 |4 |5 |6 |7 |
| Interval | Frames | Bytes | FRAMES | BYTES | FRAMES | BYTES | FRAMES | BYTES |
|-----------------------------------------------------------------------------------------------|
| 0 <> 30 | 107813 | 120111352 | 107813 | 120111352 | 26682 | 15294257 | 80994 | 104808983 |
| 30 <> 60 | 122437 | 124508575 | 122437 | 124508575 | 49331 | 17080888 | 73017 | 107422509 |
| 60 <> 90 | 138999 | 135488315 | 138999 | 135488315 | 54829 | 22130920 | 84029 | 113348686 |
| 90 <> 120 | 158241 | 217781653 | 158241 | 217781653 | 42103 | 15870237 | 115971 | 201901201 |
| 120 <> 150 | 111708 | 131890800 | 111708 | 131890800 | 43709 | 18800647 | 67871 | 113082296 |
| 150 <> Dur | 123736 | 142639416 | 123736 | 142639416 | 50754 | 22053280 | 72786 | 120574520 |
=================================================================================================
谢谢你的回复。我一直在用python脚本解析输出。我只是想知道是否可以只使用tshark。根据文档,这是不可能的。我只检查了Wireshark 2.2.6。好的,那么我会接受这个答案。谢谢你的帮助,谢谢你的回复。我一直在用python解析输出
剧本我只是想知道是否可以只使用tshark。根据文档,这是不可能的。我只检查了Wireshark 2.2.6。好的,那么我会接受这个答案。谢谢你的帮助。
$cat somefile.csv
Start,Stop,Frames,Bytes,FRAMES,BYTES,FRAMES,BYTES,FRAMES,BYTES
0,30,107813,120111352,107813,120111352,26682,15294257,80994,104808983
30,60,122437,124508575,122437,124508575,49331,17080888,73017,107422509
60,90,138999,135488315,138999,135488315,54829,22130920,84029,113348686
90,120,158241,217781653,158241,217781653,42103,15870237,115971,201901201
120,150,111708,131890800,111708,131890800,43709,18800647,67871,113082296
150,Dur,123736,142639416,123736,142639416,50754,22053280,72786,120574520