我有一个文件pcap.pcap,我想用选项-T打印每个数据包的所有字段我的命令:tsark-r filepcap.pcap-T字段-e tcp.begin-e tcp.contiue-e tcp.end-e tcp.tid-e分隔符="|">
但在控制台显示器上的每一行:
(begin|continue|end|tid)
1,1|||04:1e:4f:30,a1:04:07:a7
1|1||84:10:01:6f,04:1b:65:64
1|||03:fa:58:1a
我看到每行都有两层TCAP或CAMEL,不能用它的tid映射字段
示例行:
1|1||84:10:01:6f,04:1b:65:64
id1=84:10:01:6f id2=04:1b:65:64我无法将它们(id1或id2(与状态映射为开始或继续
如果可以的话,请帮帮我。
如果您对tcap.tid字段的内容最感兴趣,您可以修改tshark命令,以便只显示字段所在的数据包,还可以先显示tid,而不是最后显示,例如:
tshark -r filepcap.pcap -Y "tcap.tid" -T fields -e tcap.tid -e tcap.begin -e tcap.continue -e tcap.end -E separator="|"