Wireshark でキャプチャした pcap ファイルから時刻の条件でフィルタして抽出する

HOME
Linux
Windows
Sendmail
DNS
F/W
Solaris
Apache
Cisco
仮想化
その他
基礎知識

Wireshark でキャプチャした pcap ファイルから時刻の条件でフィルタして抽出する方法は次の通り。

Wireshark に付属している tshark.exe を利用した方法を紹介。

tshark.exe は Wireshark のコマンドライン版。

Wireshark のインストールフォルダに一緒に保存されています。

Windows版のデフォルトでは、C:\Program Files\Wireshark にある。

tshark.exe をコマンドプロンプトで実行。
> cd C:\Program Files\Wireshark

C:\Program Files\Wireshark> tshark.exe -r "キャプチャした pcap ファイル名" -Y "frame.time >=\"2022-01-31 10:00:00\" and frame.time <=\"2022-01-31 11:00:00\"" -w "出力ファイル名"
この例は、キャプチャした pcap ファイルから、2022/1/31 10:00:00～2022/1/31 11:00:00 の範囲のデータを抽出して、出力ファイルに保存する。

HOME
Linux
Windows
Sendmail
DNS
F/W
Solaris
Apache
Cisco
仮想化
その他
基礎知識