1

私は 1 つの大きな pcap ファイルを持っており、私の目的は、トレースの特定のタイムスタンプ期間のみを抽出することです (たとえば、データセットの時間は 0 から 200 で始まりますが、50 から 100 秒の間だけが必要です)。

editcapツールを使用して、このコマンドを使用しようとしました

 editcap -A "50.000000000" -B "100.000000000"  input_file output_file

私のデータセット時間フィールドはこの形式を示しているためです。問題は、エラーが発生することです

"editcap: "50.000000000" isn't a valid time format"

たとえば、wiresharkのWebサイトによると、他の方法で試してみましたが、形式は次のようになり、同じエラーで終了します。

The time is given in the following format YYYY-MM-DD HH:MM:SS

ネットで議論されている解決策のいくつかは、見積もりを使用することですが、エラーが発生することもあります

"YYYY-MM-DD HH:MM:SS"

問題は、上記の目的を達成するために editcap ツールを使用するための実際の形式は何かということです。

4

3 に答える 3

0 
editcap  -A "2006-12-15 13:17:10" ...

私にとってはうまくいきました(Windows上)。

注: オプションを使用して tshark で表示される時刻を使用する必要があり-tadます (小数秒なし)。

つまり、サブ秒 ( 2006-12-15 13:17:10.1234) を指定すると、サブ秒の部分が無視されます。

于 2015-02-01T19:42:50.137 に答える
0

editcap を使用する代わりに、この方法で tshark を試すことができます。

$ tshark -r input.pcap -R "frame.time_relative >= 50 && frame.time_relative <= 100" -w output.cap
于 2015-04-01T06:00:04.360 に答える