Назад | Перейти на главную страницу

Как посмотреть абсолютные отметки времени в Wireshark?

Есть пример pcap файл открыт в wireshark

Второй столбец - время. Можно ли увидеть здесь абсолютные отметки времени вместо относительных?

(из комментария)

Файл pcap (из tcpdump или wirehark или AFAIK что-нибудь еще, использующее libpcap) уже имеет абсолютное время; это только Дисплей Wireshark нужно отрегулировать.

в View щелкните меню Time Display Format и выберите один из Time of Day параметры.

tcpdump имеет собственные параметры отметки времени для.

-t
    Don't print a timestamp on each dump line. 
-tt
    Print the timestamp, as seconds since January 1, 1970, 00:00:00, UTC, and fractions of a second since that time, on each dump line. 
-ttt
    Print a delta (micro-second resolution) between current and previous line on each dump line. 
-tttt
    Print a timestamp, as hours, minutes, seconds, and fractions of a second since midnight, preceded by the date, on each dump line. 
-ttttt
    Print a delta (micro-second resolution) between current and first line on each dump line. 

Более подробную информацию вы можете найти на tcpdump справочная страница.