Networking t将数据包写入输出文件时，共享显示筛选器不工作_Networking_Wireshark_Tshark

Networking t将数据包写入输出文件时，共享显示筛选器不工作

networking

Networking t将数据包写入输出文件时，共享显示筛选器不工作,networking,wireshark,tshark,Networking,Wireshark,Tshark,我是tshark的新手。我想用wireshark捕捉一些ipp数据对于该am，使用以下tshark终端命令 tshark -i 3 -a duration:20 -Y "ipp contains 02:00:00" -T pdml > gggggg.xml 在上面的命令am中，设置tshark执行后20秒的持续时间将自动停止并创建一个xml文件它工作正常，很好但在某些情况下，获取'ipp'数据时会出现延迟，20秒后，tashark caputing将停止。因此，我无法捕获数据。它

我是tshark的新手。我想用wireshark捕捉一些ipp数据

对于该am，使用以下tshark终端命令

 tshark -i 3 -a duration:20 -Y "ipp contains 02:00:00" -T pdml > gggggg.xml

在上面的命令am中，设置tshark执行后20秒的持续时间将自动停止并创建一个xml文件

它工作正常，很好

但在某些情况下，获取

'ipp'

数据时会出现延迟，20秒后，tashark caputing将停止。因此，我无法捕获数据。它将在20秒后退出。当我增加时间延迟时，我将以xml文件的形式获取完整的数据。我正在寻找另一个选项，如设置文件大小以及当文件大小达到特定的

kb

stop

tshark

。为此，我将tshark命令更改为

tshark -i 3 -Y "ipp contains 02:00:00" -b filesize:100 -b files:1 -l -w some.txt -T pdml > gggggg.xml

我得到了错误

 tshark: Display filters aren't supported when capturing and saving the captured packets.

如何使用创建xml文件，并且当文件大小达到特定Kbs时停止tshark执行。此外，我需要使用筛选器类型作为“ipp包含02:00:00”（它将仅以xml形式输出ipp数据包）

在Wireshark/tshark中，有两种具有不同语法的筛选器：和。对于您的情况，您可以设置一个捕获筛选器，该筛选器只保留前往端口631（IPP）的TCP或UDP数据包：

要限制捕获文件的大小，说明：

-a

指定一个条件，用于指定TShark何时停止写入捕获文件。标准是形式测试：值，哪里测试是以下测试之一：

filesize:value在捕获文件达到值kB后停止写入该文件

因此，对于1Mb的最大文件大小，以及xml输出和目标端口631（IPP）上的捕获筛选器，您的命令如下所示：

tshark -i eth0 -f "dst port 631" -a filesize:1024 -T pdml -w ipp.xml

tshark -i eth0 -f "dst port 631" -a filesize:1024 -T pdml -w ipp.xml