Как прочитать имя интерфейса из файла .pcapng, используя tshark?

Question

Я пытаюсь запустить эту команду tshark:

tshark -r $file -T fields -E separator=/t -e frame.number -e frame.time -e frame.protocols -e frame.len -e frame.interface_id -e frame.interface_name

Я получаю это предупреждение:

** (process:30955): WARNING **: 'frame.interface_name' isn't a valid field! tshark: Some fields aren't valid

НоЯ могу видеть поле при открытии файла в Wireshark?

Как правильно получить доступ к информации имя_интерфейса?

Я использую следующую версию tshark -

TShark 1.12.1 (Git Rev Unknown from unknown)

Copyright 1998-2014 Gerald Combs <gerald@wireshark.org> and contributors.
This is free software; see the source for copying conditions. There is NO
warranty; not even for MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE.

Compiled (64-bit) with GLib 2.32.4, with libpcap, with libz 1.2.7, with POSIX
capabilities (Linux), with libnl 3, with SMI 0.4.8, with c-ares 1.9.1, with Lua
5.2, without Python, with GnuTLS 2.12.20, with Gcrypt 1.5.0, with MIT Kerberos,
with GeoIP.

Running on Linux 3.16.7-cb2000v1, with locale en_US.UTF-8, with libpcap version
1.3.0, with libz 1.2.7.
Intel(R) Xeon(R) CPU E5-2640 v4 @ 2.40GHz

Built using gcc 4.7.2.

Я попытался обновить Wireshark -

$ sudo apt-get install wireshark Reading package lists... Done Building dependency tree<br> Reading state information... Done wireshark is already the newest version. You might want to run 'apt-get -f install' to correct these: The following packages have unmet dependencies: isc-dhcp-relay : Depends: isc-dhcp-common (= 4.2.2.dfsg.1-5+deb70u8) but 4.2.2.dfsg.1-5+deb70u8 is to be installed isc-dhcp-server : Depends: isc-dhcp-common (= 4.2.2.dfsg.1-5+deb70u8) but 4.2.2.dfsg.1-5+deb70u8 is to be installed libsnmp-perl : Depends: perl (>= 5.14.2-21+deb7u5) but 5.14.2-21+deb7u3 is to be installed E: Unmet dependencies. Try 'apt-get -f install' with no packages (or specify a solution).

Там написано wireshark is already the newest version.

Это сведения о ОС Linux на компьютере: Distributor ID: Debian Description: Debian GNU/Linux 7.8 (wheezy) Release: 7.8 Codename: wheezy

Answer 1

Какую версию tshark вы используете?Запустите tshark -v для проверки.

Фильтр отображения frame.interface_name доступен только начиная с версии 2.4.0, так что, возможно, в вашем * 1010 установлена ​​более старая версия tshark*?

Обратите внимание, что вы можете проверить наличие любого фильтра экрана на Wireshark Справочник по фильтру экрана Страница.