- -z帮助
显示所有可能的值-z。
- -z法新社,SRT [,过滤器 ]
- -z骆驼,SRT
- -z比较,启动,停止,TTL [0 | 1] ,以便[0 | 1] ,方差 [,过滤器 ]
如果可选的过滤器指定,只有那些符合过滤器的数据包将被计算中使用。
- -z CONV,类型 [,过滤器 ]
创建一个表,其中列出了可在拍摄中可以看出所有的谈话。 类型指定我们要生成的统计谈话端点类型; 目前所支持的是:
“ETH”以太网地址
“FC”光纤通道地址
“FDDI”FDDI地址
“IP”IPv4地址
“IPv6的”IPv6??地址
“IPX”IPX地址
“TCP”TCP / IP套接字对IPv4和IPv6的支持
“TR”令牌环地址
“UDP”UDP / IP套接字对IPv4和IPv6的支持
如果可选的过滤器指定,只有那些符合过滤器的数据包将被计算中使用。
表呈现一行的每个会话,并显示的包/字节在每个方向上的数目以及包/字节的总数。表被按照帧的总数量来分类。
- -z DCERPC,SRT,UUID,大,小的 [,过滤器 ]
收集呼叫/答复SRT(服务响应时间)数据接口DCERPC UUID,版本主要。次要。所收集的数据是呼叫的每一道工序,MinSRT,MaxSRT和AvgSRT的数量。
例如:-z DCERPC,SRT,12345778-1234-ABCD-ef00-0123456789ac,1.0将收集的CIFS SAMR接口的数据。
这个选项可以在命令行上多次使用。
如果可选的过滤器提供,该统计将只计算那些匹配过滤器的呼叫。
例如:-z DCERPC,SRT,12345778-1234-ABCD-ef00-0123456789ac,1.0,ip.addr == 1.2.3.4将收集特定主机SAMR SRT统计。
- -z直径,AVP [,cmd.code,场,场,... ]
此选项允许提取大量捕捉文件最重要的直径领域。恰好一个文本行用于与匹配每个直径消息diameter.cmd.code将被打印。
空直径命令代码或“*”可被规定为马赫任何diameter.cmd.code
例如:-z直径,AVP 提取默认字段从直径消息设置。
例如:-z直径,AVP,280 默认提取物领域从直径DWR消息集。
例如:-z直径,AVP,272 默认提取物领域从直径CC消息集。
提取直径CC的消息最重要的领域:
tshark的-r file.cap.gz -q -z diameter,avp,272,CC-Request-Type,CC-Request-Number,Session-Id,Subscription-Id-Data,Rating-Group,Result-Code
以下字段将打印出的每个直径的消息:
“帧”帧号。
“时间”框架到达Unix时间。
“SRC”源地址。
“srcport”源端口。
“DST”目标地址。
“dstport”目标端口。
“原”恒串“直径”,它可以用于tshark的输出的后处理。例如grep的/ sed的/ AWK。
“msgnr”序列。在框架内直径消息的数目。例如“2”为在同一帧中的第三直径的消息。
“is_request”'0',如果消息是一请求,'1',如果消息是一个答案。
“CMD”diameter.cmd_code,如'272'的信贷控制消息。
“req_frame”框架相匹配的地方要求被发现或数字“0”。
“ans_frame”框架,其中匹配的答案被发现或数字“0”。
万一“resp_time”以秒响应时间,“0”,如果没有在跟踪中找到匹配的请求/应答。例如,在开始或捕获结束。
-z直径,AVP选项比快得多-V -T文本或-T PDML选项。
-z直径,AVP选项比功能更强大-T场和-z原,COLINFO选项。
在一帧中的多个直径的消息的支持。
几个字段与在一个直径消息同名的支持,如diameter.Subscription-ID-数据或diameter.Rating-集团。
注:tshark的-q选项,建议取消默认tshark的输出。
- -z专家[ ,误差|,警告|,注意|,聊天 ] [ ,过滤器 ]
收集所有的信息专家信息,并显示它们顺序,按严重程度分组。
例如:-z专家,SIP将显示所有严重性专家项符合SIP协议的帧。
这个选项可以在命令行上多次使用。
如果可选的过滤器提供,该统计将只计算那些匹配过滤器的呼叫。
例如:-z“专家,笔记,TCP”只会收集专家项框架,包括TCP协议,用音符或更高的严重程度。
- -z跟随,PROT,模式,筛选 [ ,范围 ]
显示两个节点之间的TCP或UDP数据流的内容。由第二节点发送的数据的前缀选项卡以从由所述第一节点发送的数据区分开。
PROT指定的传输协议。它可以是一个: TCP TCP UDP UDP SSL SSL
模式指定输出模式。它可以是一个: ASCII ASCII输出为点非打印字符 十六进制 十六进制和ASCII数据偏移 原始 的十六进制数据
由于在输出ASCII模式可以包含换行符,输出端加一个换行符的每个部分的长度先输出的每一部分。
过滤指定要显示的流。UDP流选择IP地址和端口对。TCP流与选择无论是流索引或IP地址和端口对。例如: IP-ADDR0:PORT0,IP-ADDR1:PORT1 TCP流指数
范围任选指定该流的“块”应显示。
例如:-z“跟随,TCP,六角,1”将在“六角”格式显示所述第一TCP数据流的内容。
================================================== =================
遵循:TCP,十六进制
过滤器:tcp.stream EQ 1
节点0:200.57.7.197:32891
节点1:200.57.7.198:2906
00000000 00 00 00 22 00 00 00 07 00 85 0A 07 02 00 E9 02 ......“.... ........
00000010 07 06 E9 00 0F 00 0D 04 00 00 00 01 00 03 00 06 ........ ........
00000020 1F 00 06 04 00 00 ......
00000000 00 01 00 00 ....
00000026 00 02 00 00例如:-z“跟着,TCP,ASCII,200.57.7.197:32891,200.57.7.198:2906”显示200.57.7.197端口32891和200.57.7.98端口2906之间的TCP流的内容。
================================================== =================
遵循:TCP,ASCII
过滤器:(省略可读性)
节点0:200.57.7.197:32891
节点1:200.57.7.198:2906
38
......“......
................
4
....- -z H225,柜台[ ,过滤器 ]
算上ITU-T H.225消息及其原因。在第一列中你得到H.225消息和H.225消息的原因,这发生在当前捕捉文件的列表。出现每个消息或原因的数目被显示在第二列中。
例如:-z H225,计数器。
如果可选的过滤器提供,该统计将只计算那些匹配过滤器的呼叫。例如:使用-z“H225,计数器,ip.addr == 1.2.3.4”只收集统计信息在IP地址1.2.3.4交换主机H.225包。
这个选项可以在命令行上多次使用。
- -z H225,SRT [ ,过滤器 ]
收集的请求/响应SRT(服务响应时间)数据ITU-T H.225 RAS。收集的数据是每个ITU-T H.225 RAS消息类型的电话,最小SRT,最大SRT,平均SRT,最小的包,并在最大的数据包数量。您也将获得打开请求的数量(Unresponded请求),废旧反应(反应没有匹配的要求),并重复的消息。
例如:-z H225,SRT
这个选项可以在命令行上多次使用。
如果可选的过滤器提供,该统计将只计算那些匹配过滤器的呼叫。
例如:-z“H225,SRT,ip.addr == 1.2.3.4”只会收集统计信息的IP地址1.2.3.4交换由主机ITU-T H.225 RAS包。
- -z寄主,IPv4的] [,IPv6的]
转储收集任何IPv4和/或IPv6地址中的“主机”的格式。IPv4和IPv6地址默认情况下倾倒。
地址是从多个来源,包括标准的“hosts”文件和捕获的流量收集。
- -z HTTP,统计,
计算HTTP统计分布。显示的值是HTTP状态码和HTTP请求的方法。
- -z HTTP,树
计算HTTP数据包分配。显示的值是HTTP请求模式和HTTP状态代码。
- -z http_req,树
通过计算服务器的HTTP请求。显示的值是服务器名称和URI路径。
- -z http_srv,树
计算的HTTP请求和响应通过服务器。为HTTP请求,显示的值是服务器的IP地址和服务器的主机名。为HTTP响应,显示的值是服务器的IP地址和状态。
- -z ICMP,SRT [,过滤器 ]
计算总ICMP回应请求,应答的损失,并%的损失,以及最大值,最小值,平均值,中位数和样本标准差SRT统计典型什么平提供。
例如:-z ICMP,SRT,ip.src == 1.2.3.4将收集的ICMP回应请求数据包从一个特定的主机发出ICMP SRT的统计数据。
这个选项可以在命令行上多次使用。
- -z的ICMPv6,SRT [,过滤器 ]
计算总的ICMPv6回显请求,应答的损失,并%的损失,以及最大值,最小值,平均值,中位数和样本标准差SRT统计典型什么平提供。
例如:-z的ICMPv6,SRT,ipv6.src == FE80 :: 1将收集的ICMPv6回送请求数据包从一个特定主机发起的ICMPv6 SRT的统计数据。
这个选项可以在命令行上多次使用。
- -z IO,PHS [,过滤器 ]
创建协议层次统计,列出两个数据包数量和字节。如果没有过滤器指定的统计信息将被计算所有数据包。如果过滤器是特定的统计数据将只计算那些匹配过滤器的报文。
这个选项可以在命令行上多次使用。
- -z IO,统计,区间 [,过滤器 ] [,过滤器 ] [,过滤器 ] ...
收集数据包/字节统计的时间间隔拍摄 间隔秒 间隔可以指定为一个整数或分数第二,可以用微秒(我们)分辨率进行指定。如果间隔为0,则统计数据将被计算在所有的数据包。
如果没有过滤器指定的统计信息将被计算所有数据包。如果一个或多个滤波器是特定的统计将被计算为所有的过滤器和带有统计每个滤波器的一列。
这个选项可以在命令行上多次使用。
例如:-z IO,统计,1,ip.addr == 1.2.3.4会产生向/从主机1.2.3.41秒统计所有流量。
例如:-z“IO,统计,0.001,SMB && ip.addr == 1.2.3.4”将产生的所有SMB数据包到/从主机1.2.3.4 1ms的统计数据。
以上所有的例子都使用标准的语法,用于产生统计仅计算在每个时间间隔的数据包和字节数。
IO,统计还可以做更多的统计和计算COUNT() ,SUM() , MIN() ,MAX() ,AVG()和load()的使用略有不同的过滤器语法:
- -z IO,统计,区间,“[COUNT | SUM | MIN | MAX | AVG | LOAD](场)过滤器 “
注:一件重要的事情,这里要注意的是,过滤器是不可选的,并且该计算是基于该领域必须是过滤字符串或计算将失败的一部分。
所以:-z IO,统计,0.010,AVG(smb.time)不起作用。使用-z IO,统计,0.010,AVG(smb.time)smb.time代替。另外要注意,一个领域可以存在多次同样的包内,在这些数据包将被计算多次。
注:第二个重要的一点要注意的是,该系统设置小数点分隔符必须设置为“。”!如果它被设置为“”的统计将不会每滤波器显示。
COUNT(场)滤波器 -计算的次数,该字段名称每个间隔中的过滤包表(而不是它的值)出现。'' 场 ''可以是任何显示过滤器名称。
例如:-z IO,统计,0.010,“COUNT(smb.sid)smb.sid”
这将计数见于每10ms的间隔的SID的总数。
SUM(场)过滤器 -不像COUNT,该值将指定字段的每个时间间隔相加。'' 场 '只能是一个名为整数,浮点数,双或相对时间字段。
例如:-z IO,统计,0.010,“SUM(frame.len)frame.len”
报告中双向传输的所有数据包,一个10毫秒的时间间隔内的总字节数。
最小/最大/平均值(场)滤波器 -的最小值,最大值,或者在每个时间间隔的平均场值被计算。指定的字段必须是一个名为整型,浮点型,双或相对时间字段。为相对时间字段,输出呈现以秒为精度四舍五入至最接近微秒六个小数位。
在下面的例子中,第一Read_AndX呼叫的时间,最后Read_AndX响应值显示和最小值,最大值和平均读响应时间(SRT中)被计算。注:如果在DOS命令行外壳符,'^'时,每行不能以逗号结束所以它被放置在每个连续行的开头:
tshark的-o tcp.desegment_tcp_streams:FALSE -n -q -r smb_reads.cap -z IO,统计,0,
“MIN(frame.time_relative)frame.time_relative和smb.cmd == 0x2E读取和smb.flags.response == 0”,
“MAX(frame.time_relative)frame.time_relative和smb.cmd == 0x2E读取和smb.flags.response == 1”
“MIN(smb.time)smb.time和smb.cmd == 0x2E之间”,
“MAX(smb.time)smb.time和smb.cmd == 0x2E之间”,
“AVG(smb.time)smb.time和smb.cmd 0x2E的==”
======================================================================================================
IO统计
列#0:MIN(frame.time_relative)frame.time_relative和smb.cmd == 0x2E读取和smb.flags.response == 0
列#1:MAX(frame.time_relative)frame.time_relative和smb.cmd == 0x2E之间和smb.flags.response == 1
列#2:MIN(smb.time)smb.time和smb.cmd 0x2E的==
列#3:MAX(smb.time)smb.time和smb.cmd 0x2E的==
列#4:AVG(smb.time)smb.time和smb.cmd 0x2E的==
|列#0 |列#1 |列#2 |列#3 |列#4 |
时间| MIN | MAX | MIN | MAX | AVG |
000.000- 0.000000 7.704054 0.000072 0.005539 ??0.000295
======================================================================================================下面的命令显示的平均SMB响应读取PDU大小,读取的字节PDU总数,平均SMB写请求PDU大小,并在SMB写的PDU传输的字节总数:
tshark的-n -q -r smb_reads_writes.cap -z IO,统计,0,
“AVG(smb.file.rw.length)smb.file.rw.length和smb.cmd == 0x2E读取和smb.response_to”
“SUM(smb.file.rw.length)smb.file.rw.length和smb.cmd == 0x2E读取和smb.response_to”
“AVG(smb.file.rw.length)smb.file.rw.length和smb.cmd ==值为0x2F,而不是smb.response_to”
“SUM(smb.file.rw.length)smb.file.rw.length和smb.cmd ==值为0x2F,而不是smb.response_to”
================================================== ===================================
IO统计
列#0:AVG(smb.file.rw.length)smb.file.rw.length和smb.cmd == 0x2E读取和smb.response_to
列#1:SUM(smb.file.rw.length)smb.file.rw.length和smb.cmd == 0x2E之间和smb.response_to
列#2:AVG(smb.file.rw.length)smb.file.rw.length和smb.cmd ==值为0x2F,而不是smb.response_to
列#3:SUM(smb.file.rw.length)smb.file.rw.length和smb.cmd ==值为0x2F,而不是smb.response_to
|列#0 |列#1 |列#2 |列#3 |
时间| AVG | SUM | AVG | SUM |
000.000- 30018 28067522 72 3240
================================================== ===================================LOAD(场)过滤器 -加载??/队列深度的每个间隔计算。指定字段必须是相对时间字段表示一个响应时间。例如smb.time。对于每个区间的队列深度为指定的协议的计算方法。
下面的命令显示平均SMB LOAD。值为1.0表示一个I / O在飞行。
tshark的-n -q -r smb_reads_writes.cap
-z“IO,统计,0.001,LOAD(smb.time)smb.time”
================================================== ==========================
IO统计
间隔:0.001000秒
列#0:LOAD(smb.time)smb.time
|列#0 |
时间| LOAD |
0000.000000-0000.001000 1.000000
0000.001000-0000.002000 0.741000
0000.002000-0000.003000 0.000000
0000.003000-0000.004000 1.000000框架| BYTES [()过滤器 ] -显示帧或字节总数。该过滤器领域是可选的,但如果把它列入必须以''()''预先考虑。
下面的命令显示五列:使用单个逗号,相同的两个统计使用框架帧和字节(传送双向)的总数和BYTES子,含有至少一个SMB读响应帧的总数量,以及总在IP传送给客户端(单向)的字节数地址10.1.0.64。
tshark的-o tcp.desegment_tcp_streams:FALSE -n -q -r smb_reads.cap -z IO,统计,0,框架,字节,
“框架()== smb.cmd 0x2E的和smb.response_to”,“字节()== ip.dst 10.1.0.64”
=======================================================================================================================
IO统计
列#0:
列#1:框架
列#2:字节
列#3:帧()== smb.cmd 0x2E的和smb.response_to
列#4:字节()== ip.dst 10.1.0.64
|列#0 |列#1 |列#2 |列#3 |列#4 |
时间|框架|字节|框架| BYTES |框架| BYTES |
000.000- 33576 2972??1685 33576 2972??1685 870 29004801
=======================================================================================================================- -z MAC-LTE,STAT [ ,过滤器 ]
这个选项将会激活LTE MAC消息的计数器。您将获得有关的UE / ??TTI,常见的消息和各种计数器出现在日志中每个UE的最大数量的信息。
例如:-z MAC-LTE,统计。
这个选项可以在命令行上多次使用。
如果可选的过滤器提供,该统计只计算那些匹配过滤器,帧。例如:-z“MAC-LTE,统计,MAC-lte.rnti 3000“>只会收集统计信息的UE与分配RNTI,其值是3000多。
- -z MEGACO,RTD [ ,过滤器 ]
收集的请求/响应的RTD(响应时间延迟)数据MEGACO。(这类似于-z尖儿,SRT)。所收集的数据是呼叫为每个已知MEGACO类型,MinRTD,MaxRTD和AvgRTD的数量。此外,你得到重复的请求/响应,unresponded请求,响应,不与任何请求匹配的数量。例如:-z MEGACO,RTD。
如果可选的过滤器提供,该统计将只计算那些匹配过滤器的呼叫。例如:-z“MEGACO,RTD,ip.addr == 1.2.3.4”只会收集统计信息的IP地址1.2.3.4交换主机MEGACO包。
这个选项可以在命令行上多次使用。
- -z MGCP,RTD [ ,过滤器 ]
收集的请求/响应的RTD(响应时间延迟)数据MGCP。(这类似于-z尖儿,SRT)。所收集的数据是呼叫为每个已知MGCP类型,MinRTD,MaxRTD和AvgRTD的数量。此外,你得到重复的请求/响应,unresponded请求,响应,不与任何请求匹配的数量。例如:-z MGCP,RTD。
这个选项可以在命令行上多次使用。
如果可选的过滤器提供,该统计将只计算那些匹配过滤器的呼叫。例如:-z“MGCP,RTD,ip.addr == 1.2.3.4”只会收集统计信息的IP地址1.2.3.4交换主机MGCP包。
- -z原,COLINFO,过滤器,场
追加所有字段值的数据包的单行摘要输出的信息列。此功能可用于追加任意字段的信息栏,除了该列的正常含量。 现场是价值应放置在Info列字段的显示过滤器名称。 过滤器是一个过滤器字符串控制对于哪些分组字段值将出现在信息栏中。 现场将仅在信息栏中的数据包匹配其提交过滤器。
注:为了使tshark的是能够提取领域从包的价值,场必须是一部分过滤字符串。如果不是, tshark的将不能够提取其值。
对于一个简单的例子来了“nfs.fh.hash”字段添加到信息栏包含了“nfs.fh.hash”字段中,使用的所有数据包
-z原,COLINFO,nfs.fh.hash,nfs.fh.hash
为了把“nfs.fh.hash”的信息列,但只对数据包从主机1.2.3.4使用来临:
-z“原,COLINFO,nfs.fh.hash && ip.src == 1.2.3.4,nfs.fh.hash”
这个选项可以在命令行上多次使用。
- -z RLC-LTE,STAT [ ,过滤器 ]
这个选项将会激活LTE RLC消息的计数器。您将获得有关出现在日志中每个UE通用信息和各种计数器信息。
例如:-z RLC-LTE,统计。
这个选项可以在命令行上多次使用。
如果可选的过滤器提供,该统计只计算那些匹配过滤器,帧。例如:-z“RLC-LTE,统计,RLC-lte.ueid 3000“>只会收集统计信息的UE有超过3000 UEID。
- -z RPC,程序
收集呼叫/答复SRT数据为所有已知的ONC-RPC程序/版本。数据收集是呼吁每个协议/版本,MinSRT,MaxSRT和AvgSRT的数量。只能使用一次在命令行上此选项。
- -z RPC,SRT,程序,版本 [,过滤器 ]
收集呼叫/答复SRT(服务响应时间)数据的程序 / 版本。所收集的数据是呼叫的每一道工序,MinSRT,MaxSRT,AvgSRT,以及对各过程的总时间的数目。
例如:-z RPC,SRT,100003,3将收集NFS v3的数据。
这个选项可以在命令行上多次使用。
如果可选的过滤器提供,该统计将只计算那些匹配过滤器的呼叫。
例如:-z RPC,SRT,100003,3,nfs.fh.hash ==为0x12345678将收集NFS v3的SRT统计特定文件。
- -z RTP,溪流
收集统计数据的所有RTP流,并计算最大。三角洲最大。和平均抖动和数据包丢失百分比。
- -z SCSI,SRT,CMDSET [,过滤器 ]
收集呼叫/答复SRT(服务响应时间)数据SCSI命令集CMDSET。
Commandsets 0:1 SBC:SSC 5:MMC
所收集的数据是呼叫的每一道工序,MinSRT,MaxSRT和AvgSRT的数量。
例如:-z SCSI,SRT,0将收集的SCSI模块命令(SBC)数据。
这个选项可以在命令行上多次使用。
如果可选的过滤器提供,该统计将只计算那些匹配过滤器的呼叫。
例如:-z SCSI,SRT,0,ip.addr == 1.2.3.4将收集的SCSI SBC SRT统计特定iSCSI / IFCP / FCIP主机。
- -z SIP,STAT [ ,过滤器 ]
这个选项将会激活SIP消息的计数器。你会得到每一个出现的方法SIP和状态码的每个SIP的数量。此外,您还可以获得重发SIP消息的数量(仅适用于SIP基于UDP)。
例如:-z SIP,统计。
这个选项可以在命令行上多次使用。
如果可选的过滤器提供,该统计将只计算那些匹配过滤器的呼叫。例如:-z“抿,统计,ip.addr == 1.2.3.4”只会收集统计信息的IP地址1.2.3.4交换主机SIP数据包。
- -z中小企业,小岛屿发展中国家
当使用此功能tshark的将打印一份报告,所有发现的SID和帐户名称映射。只有那些其中的帐户名称已知的SID将呈现于表中。
对于此功能工作,你要么需要在首选项,“编辑/首选项/协议/ SMB /探听到SID名映射”,或者您可以通过指定覆盖喜好 -o“smb.sid_name_snooping:TRUE”的tshark的命令行。
由当前的方法tshark的找到SID->名称映射相对限制未来扩张的希望。
- -z SMB,SRT [,过滤器 ]
收集呼叫/答复SRT(服务响应时间)的数据为中小型企业。数据收集是呼吁每个SMB命令,MinSRT,MaxSRT和AvgSRT的数量。
例如:-z SMB,SRT
这些数据将作为所有正常的SMB命令单独的表,所有Transaction2命令和所有NT事务命令。只有那些出现在捕捉这些命令将显示其统计数据。仅在一个xAndX命令链中的第一命令将在计算中被使用。因此,对于共同SessionSetupAndX + TreeConnectAndX链,只有SessionSetupAndX呼叫将在统计中使用。这是一个缺陷,该缺陷可能会被固定在未来。
这个选项可以在命令行上多次使用。
如果可选的过滤器提供,该统计将只计算那些匹配过滤器的呼叫。
例如:-z“SMB,SRT,ip.addr == 1.2.3.4”只会收集统计信息的IP地址1.2.3.4交换主机SMB数据包。
- --capture注释<评论>
添加评论捕捉到输出文件。
如果创建了pcapng格式的新的输出文件,此选项才可用。只有一个捕捉评论可能每个输出文件中设置。
