Я пытаюсь создать файл json из .pcap всего с несколькими полями. Первое, что я делаю, — это экспортирую весь .pcap в виде файла json, чтобы увидеть поля, которые я хочу извлечь (Файл — Экспорт фрагментов пакетов — Как json). Затем я запускаю tshark со следующим синтаксисом:
tshark -r example.pcap -T json > example.json -e ip.dst -e ip.src -e gsm_map.ms.sai_Present
И результат последней команды:
Tshark — некоторые поля недействительны: gsm_map.ms.sai_Present
Есть идеи?
Согласно онлайн-странице Wireshark Display Filter Reference, поле gsm_map.ms.sai_Present
присутствовало только в версиях Wireshark с 1.0.0 по 1.10.14. Возможно, вы ищете gsm_map.ms.sai_Present_element
сейчас?
«Даже я вижу в программе wireshark». Где ты это видишь? Имя фильтра дисплея определенно gsm_map.ms.sai_Present_element
, как видно вокруг строки 28728 файла package-gsm_map.c здесь: gitlab.com/wireshark/wireshark/-/blob/master/epan/dissectors/… . Может быть, вы путаете фильтр отображения с отображаемым текстом «sai-Present»?
Гораздо проще просматривать исходный код онлайн в старом репозитории, хотя имейте в виду, что это уже не последний код. Но сравните code.wireshark.org/review/gitweb?p=wireshark.git;a=blob;f=epan/… с исходным кодом master-1.0 на code.wireshark.org/review/ gitweb?p=wireshark.git;a=blob;f=epan/… и вы ясно увидите разницу в имени фильтра отображения.
Большое спасибо @Christopher Maynard. Еще одно сомнение, где я могу найти код, который использует wirehark, чтобы увидеть все переменные и значения, которые они присваивают. Могу ли я увидеть в .py? заранее спасибо
Я предоставил ссылку на исходный код Wireshark. Он в основном написан на C и C++, а не на Python. Если вы заинтересованы в сборке самого Wireshark, я бы посоветовал прочитать Руководство разработчика Wireshark по адресу: wireshark.org/docs/wsdg_html_chunked , или если вы просто заинтересованы в загрузке исходного кода, то обратитесь к разделу 3.4 Руководства разработчика: wireshark.org/docs/wsdg_html_chunked/ChSrcObtain.html.
Вовсе нет, когда я экспортирую pcap в формате json, это поле существует. Даже я вижу в программе wireshark. Однако я думаю, что это поле не поддерживается версией tshark, которую я использую.