일부 tshark 필터를 작업 중이고 특정 SIP 및 DIP에 대해 pcap을 시간별로 분할해야 합니다. editcap을 시도했지만 시간 기반에서만 작동합니다. IPADDRESS를 editcap에 전달할 수 없습니다. tshark가 수행할 수 있는 작업을 확인했습니다. 이 점
[root@ids01 snort-1]# tshark -r snort.log.1518688921 -w /tmp/pcap_tshark.pcap -Y "(frame.time >= "" 2018년 2월 17일 16:00:00"") && ( frame.time <= ""2018년 2월 17일 16:01:00"") && ip.addr==192.0.0.7" tshark: "17"은 이 맥락에서 예상치 못한 것입니다굵게 표시된 오류를 확인하세요. 필터에 무슨 문제가 있나요? 저는 centos 7을 사용하고 있습니다.
답변1
문제는 따옴표 사용에 있습니다. 필터의 큰따옴표를 유지하려면 백슬래시가 필요합니다. 다음을 시도해 보십시오.
tshark -r snort.log.1518688921 -w /tmp/pcap_tshark.pcap -Y '(frame.time >= "Feb 17, 2018 16:00:00") && (frame.time <= "Feb 17, 2018 16:01:00") && ip.addr==192.0.0.7'
또는 하드코딩된 시간 값 대신 변수를 사용할 수도 있습니다. 예를 들어 스크립트에서는 다음과 같습니다.
dbeg="Feb 17, 2018 16:00:00"
dend="Feb 17, 2018 16:01:00"
tshark -r snort.log.1518688921 -w /tmp/pcap_tshark.pcap -Y "(frame.time >= \"${dbeg}\") && (frame.time <= \"${dend}\") && ip.addr==192.0.0.7"