Я собираю трафик с помощью tshark в файл CSV, используя «-T поля», но что бы я ни пытался, я не могу получить хорошую дату ISO или даже изменить часовой пояс на UTC.
Я использую команду
tshark.exe -i 2 -c 1 -T fields -e frame.time
Это дает мне
Capturing on 'Realtek PCIe FE Family Controller'
May 20, 2016 13:46:03.565211000 Hora oficial do Brasil
Я пробовал добавить
Даже «-t d» и «-t r» не изменят формат.
Я запускаю tshark в окне Windows с ОС, установленной на португальском языке (pt-BR), и даже если я изменю язык даты с английского на португальский, все, что я получаю, - это странное сочетание языков между датой и часовым поясом.
Похоже, что tshark под Windows игнорирует все параметры форматирования дат.
Мне действительно не нужна дата ISO, но мне нужна такая, которая может быть проанализирована с помощью фильтра даты {} в logstash. Он может почти разобрать тот, который я получаю, но он не может справиться с "Hora oficial do Brasil", и я не могу избавиться от текста time.frame.
Обновление: я обнаружил, что в Ubuntu параметр «-t» не действует. Там tshark печатает часть даты / времени в том же формате, что и в Windows, но никогда не печатает имя / смещение / идентификатор часового пояса. Даже если это ошибка, поведение Unix решит мою проблему ...
На данный момент невозможно сделать то, что я хотел.
В базе данных ошибок Wireshark опубликован запрос на улучшение этой функции.
# 10220 - добавить опцию формата даты ISO 8601 в поля tshark -T (поля типа FT_ABSOLUTE_TIME)