基于时间戳剪切日志文件部分的快速脚本

Question

user53029

Asked: 2015-01-30 13:01:03 +0800 CST2015-01-30 13:01:03 +0800 CST 2015-01-30 13:01:03 +0800 CST

如何使用 tshark 或 tcpdump 计算传输的字节数

我在 tshark 中使用这个命令：

tshark -r pcapfile "tcp and ip.src==192.168.1.1" -T text -V -x | grep 'Total Length'

这实际上只解析来自源 ip 的连接的 pcap，并从每个数据包中查找总长度（以字节为单位）。我得到这样的输出：

Total Length: 125 
Total Length: 210 
Total Length: 40 
Total Length: 125
> etc, etc....

我需要做的是从 Total Length 中获取数字并将它们相加，这样我就可以了解在 pcap 的时间范围内从单个 IP 传输了多少数据。

我可以在我用来执行此操作的命令的末尾添加一个命令吗？或者有没有一种方法可以直接指向标准输出，然后将其传递给一个可以解析和计算我所追求的程序？任何人都知道可以执行此操作的 tcpdump 类似命令吗？

Xavier Lucas · Answer 1 · 2015-01-31T07:14:18+08:00

Xavier Lucas

您可以完全依靠tsharkIO 统计计算器的统计选项来执行此操作：

tshark -r pcapfile -z io,stat,0,"SUM(frame.len)frame.len && ip.src == 192.168.1.1 && ip.proto == 6"

这将显示一个板，其中SUM列是您要查找的数据。

EEAA · Answer 2 · 2015-01-30T13:06:48+08:00

Best Answer

EEAA

awk可以总结一列数字。像这样的东西应该可以解决问题。

假设您的 tshark 的输出位于foo.txt：

$ cat foo.txt | awk '{ sum += $3 } END { print sum }'

您还可以将“grep”的输出直接通过管道传输到awk，它会以类似的方式工作。