キャプチャをフィルタリングして取得する
tshark -w capture.pcap -f 'port 80'
キャプチャを開かずにフィルタリングして取り出す(aaa.capが肥大化したキャプチャ、test.pcapが吐き出し先 windowsで実行した場合)
"C:/Program Files/Wireshark/tshark"
-r aaa.cap -R http -w test.pcap
Tsharkオプション一覧
| tshark option | mean |
|---|---|
| -w [File] | 出力ファイルを指定 |
| -d tcp.port=111,http | portとプロトコルを紐付(tcp 111portをhttpにする) |
| -r [inFile] | 読み込ませるファイルを指定(-Rオプションでフィルタリング可能) |
| -f [capture filter] | -f 'port 111' port 111のパケットをキャプチャする |