Назад | Перейти на главную страницу

Как установить формат даты / времени для трафика, захваченного с помощью tshark, с помощью «-T полей»?

Я собираю трафик с помощью tshark в файл CSV, используя «-T поля», но что бы я ни пытался, я не могу получить хорошую дату ISO или даже изменить часовой пояс на UTC.

Я использую команду

tshark.exe -i 2 -c 1 -T fields -e frame.time

Это дает мне

Capturing on 'Realtek PCIe FE Family Controller' 
May 20, 2016 13:46:03.565211000 Hora oficial do Brasil

Я пробовал добавить

Даже «-t d» и «-t r» не изменят формат.

Я запускаю tshark в окне Windows с ОС, установленной на португальском языке (pt-BR), и даже если я изменю язык даты с английского на португальский, все, что я получаю, - это странное сочетание языков между датой и часовым поясом.

Похоже, что tshark под Windows игнорирует все параметры форматирования дат.

Мне действительно не нужна дата ISO, но мне нужна такая, которая может быть проанализирована с помощью фильтра даты {} в logstash. Он может почти разобрать тот, который я получаю, но он не может справиться с "Hora oficial do Brasil", и я не могу избавиться от текста time.frame.

Обновление: я обнаружил, что в Ubuntu параметр «-t» не действует. Там tshark печатает часть даты / времени в том же формате, что и в Windows, но никогда не печатает имя / смещение / идентификатор часового пояса. Даже если это ошибка, поведение Unix решит мою проблему ...

На данный момент невозможно сделать то, что я хотел.

В базе данных ошибок Wireshark опубликован запрос на улучшение этой функции.

# 10220 - добавить опцию формата даты ISO 8601 в поля tshark -T (поля типа FT_ABSOLUTE_TIME)