基于 tshark 间隔的输出中所需的时间戳答案

【问题标题】：timestamp required in tshark interval based output基于 tshark 间隔的输出中所需的时间戳
【发布时间】：2020-09-21 06:45:39
【问题描述】：

我正在使用以下命令使用 tshark 查找 TCP 重传。我想在 interval 列中有一个时间戳

tshark -i em3 -q -z io,stat,2,"COUNT(tcp.analysis.retransmission) tcp.analysis.retransmission"
Running as user "root" and group "root". This could be dangerous.
Capturing on 'em3'
^C429556 packets captured

=========================================================================
| IO Statistics                                                         |
|                                                                       |
| Interval size: 2 secs                                                 |
| Col 1: Frames and bytes                                               |
|     2: COUNT(tcp.analysis.retransmission) tcp.analysis.retransmission |
|-----------------------------------------------------------------------|
|          |1                   |2      |                               |
| Interval | Frames |   Bytes   | COUNT |                               |
|---------------------------------------|                               |
|  0 <>  2 |     13 |       810 |     0 |                               |
|  2 <>  4 |     17 |      1062 |     0 |                               |
|  4 <>  6 |  23889 |  67716172 |     5 |                               |
|  6 <>  8 |  85710 | 240490860 |    11 |                               |
|  8 <> 10 |  85810 | 240475662 |     9 |                               |
| 10 <> 12 |  86033 | 240492476 |    11 |                               |
| 12 <> 14 |  86172 | 240501536 |    10 |                               |
| 14 <> 16 |  61895 | 173008883 |     5 |                               |
| 16 <> 18 |     14 |       882 |     0 |                               |
| 18 <> 18 |      3 |       180 |     0 |                               |
=========================================================================

【问题讨论】：

wireshark IO Graph 对于可视化这类事情非常有用，并且时间戳在 x 轴上。事实上，在分析捕获时，我通常会做的第一件事就是调出总流量的 IO 图和 tcp.analysis.flags 以了解可能发生的情况。

标签： tcp tshark

【解决方案1】：

您可以添加-t 开关以显示时间或日期和时间等。来自tshark man：

-t a|ad|adoy|d|dd|e|r|u|ud|udoy 设置在摘要行中打印的数据包时间戳的格式。格式可以是以下之一：

绝对时间：绝对时间，即您所在时区的当地时间，是捕获数据包的实际时间，不显示日期

ad absolute with date：绝对日期，显示为 YYYY-MM-DD，时间，作为您所在时区的本地时间，是捕获数据包的实际时间和日期

...

【讨论】：