Задать вопрос
@r85qPZ1d3y

Tshark, как настроить запись в лог только http протокола?

Столкнулся с проблемой, не могу записать через tshark в файл дампа траффик содержащий только http протокол, а всё остальное чтобы не записывалось в файл.
В мануалах, к сожалению описано лишь как прочесть из уже имеющегося дампа, убрав ненужное.

Пробовал запускать так:
sudo tshark -i eth0 -w test.pcap -d tcp.port==80,http
так:
sudo tshark -i eth0 "http" -w test.pcap
так:
sudo tshark -i eth0 "http" -w test.pcap -f "protocol:http"
К сожалению, или вылетает с ошибкой, или опять же пишет в test.pcap всё подряд.

Кто знает, подскажите команду, какой параметр надо дописать. Буду очень признателен за помощь.
  • Вопрос задан
  • 566 просмотров
Подписаться 1 Оценить Комментировать
Пригласить эксперта
Ответы на вопрос 2
Rsa97
@Rsa97
Для правильного вопроса надо знать половину ответа
Полагаю, силами tshark вам не отфильтровать протокол L7. Возможно, подходящим вариантом будет отфильтровывать этот трафик в iptables с использованием l7 filter для вычленения только HTTP, а после уже дампить через tshark/tcpdump.
Ответ написан
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы