tshark(1): Skillnad mellan sidversioner

Från Wiki.linux.se -Linux wikipedia på Svenska.
Hoppa till navigering Hoppa till sök
 
Rad 441: Rad 441:
* [[text2pcap(1)]]
* [[text2pcap(1)]]
* [[mergecap(1)]]
* [[mergecap(1)]]
* <code>pcap(3)</code>
* <code>[[pcap(3)]]</code>
* <code>pcap-filter(7)</code>
* <code>[[pcap-filter(7)]]</code>
* <code>tcpdump(8)</code>
* <code>[[tcpdump(8)]]</code>


== ANMÄRKNINGAR ==
== ANMÄRKNINGAR ==

Nuvarande version från 18 april 2026 kl. 06.43

tshark(1)

NAMN

tshark — dumpa och analysera nätverkstrafik

SYNOPSIS

tshark [ -i <fångstgränssnitt>|- ] [ -f <fångstfilter> ] [ -2 ] [ -r <infil> ] [ -w <utfil>|- ] [ alternativ ] [ <filter> ]

tshark -h|--help

tshark -v|--version

BESKRIVNING

TShark är en nätverksprotokollanalysator. Den kan fånga paketdata från ett live-nätverk eller läsa paket från en tidigare sparad fångstfil, och antingen skriva en avkodad representation av paketen till standardutmatning eller skriva råa paket till fil.

TSharks inbyggda fångstfilformat är pcapng, vilket också används av Wireshark och andra verktyg.

Utan särskilda flaggor fungerar TShark ungefär som tcpdump. Det använder pcap-biblioteket för att fånga trafik från första tillgängliga nätverksgränssnitt och visar en sammanfattningsrad för varje mottaget paket.

Om -r används för att läsa från en sparad fångstfil fungerar TShark också ungefär som tcpdump: det läser paket från filen och visar en sammanfattningsrad för varje paket.

TShark kan läsa och skriva samma fångstfiler som Wireshark stöder. Indatafilen behöver ingen särskild filändelse; filformat samt eventuell gzip-, Zstandard- eller LZ4-komprimering upptäcks automatiskt.

När paket visas på standardutmatningen skriver TShark som standard en sammanfattningsrad med de fält som anges i inställningsfilen. Om flaggan -V används skrivs i stället en detaljerad vy med alla protokollfält i paketet. Om -O används visas full detalj endast för angivna protokoll. Om -P kombineras med -V eller -O visas både sammanfattning och detaljer.

Paketfångst utförs med pcap-biblioteket. Flaggan -f används för att ange ett fångstfilter. Visningsfilter anges med -Y och använder samma syntax som i Wireshark.

Fångstfilter är effektivare än visningsfilter. Vid livefångst kan visningsfilter göra det svårare för TShark att hinna med vid hög belastning, vilket kan öka risken för tappade paket.

Om -w används vid fångst eller läsning från fångstfil skrivs paketen till fil och visas inte på standardutmatningen. För att skriva textutmatning till fil ska standardutmatningen omdirigeras; använd inte -w för detta.

Om du vill både visa och spara paket kan du kombinera -w med -P, -V eller -O.

När paket skrivs till fil används normalt formatet pcapng. Flaggan -F väljer filformat. Flaggan --compress väljer komprimeringsmetod.

Vid livefångst skriver TShark normalt initial information om gränssnitt till standardfel, och om paket inte visas fortlöpande visas en löpande räknare. Med -q undertrycks mycket av detta, och med -Q undertrycks ännu mer.

Flaggan -G är ett specialläge som gör att TShark skriver ut en intern ordlista eller rapport och sedan avslutar.

ALTERNATIV

Allmänna alternativ

-2
Utför tvåpassanalys. Kräver att indata kan sökas bakåt i. Kan inte användas med livefångst eller rör/FIFO.
-a|--autostop <villkor>
Stoppa fångst efter ett villkor, till exempel:
  • duration:<sekunder>
  • files:<antal>
  • filesize:<kB>
  • packets:<antal>
-A <användare>:<lösenord>
Ange användare och lösenord för rpcap://-gränssnitt som kräver autentisering.
-b|--ring-buffer <villkor>
Skriv till flera fångstfiler i ringbuffertläge. Exempel:
  • duration:<sekunder>
  • files:<antal>
  • filesize:<kB>
  • interval:<sekunder>
  • packets:<antal>
  • printname:<filnamn>
  • nametimenum:<värde>
-B|--buffer-size <MiB>
Sätt fångstbuffertens storlek.
-c <antal paket>
Max antal paket att läsa eller fånga.
-C <konfigurationsprofil>
Kör med angiven konfigurationsprofil.
-D|--list-interfaces
Lista tillgängliga gränssnitt och avsluta.
-e <fält>
Lägg till ett fält att visa med -T fields, -T json, -T pdml osv.
-E <fältskrivningsalternativ>
Styr utskrift av fält med -T fields. Exempel:
  • bom=y|n
  • header=y|n
  • separator=/t|/s|<tecken>
  • occurrence=f|l|a
  • aggregator=,|/s|<tecken>
  • quote=d|s|n
  • escape=y|n
-f <fångstfilter>
Sätt fångstfilter.
-F <filformat>
Välj format för utfil vid -w.
-g
Skapa utfil(er) med grupp-läsrättighet.
-G <rapporttyp>
Skriv ut intern rapport och avsluta. Exempel på rapporttyper:
  • help
  • protocols
  • fields
  • plugins
  • folders
  • column-formats
  • currentprefs
  • defaultprefs
  • decodes
  • dissectors
  • dissector-tables
  • elastic-mapping
  • enterprises
  • fieldcount
  • ftypes
  • heuristic-decodes
  • manuf
  • services
  • values
-h|--help
Skriv versionsinformation och alternativ, och avsluta.
-H <hosts-fil>
Läs poster från en hosts-fil och skriv dem till fångstfilen. Implicerar -W n.
-i|--interface <gränssnitt>|-
Välj nätverksgränssnitt eller pipe för livefångst.
-I|--monitor-mode
Aktivera monitorläge för Wi-Fi-gränssnitt där det stöds.
-j <protokollmatchfilter>
Filter för ek, json, jsonraw och pdml; tar bara med protokollets föräldranod.
-J <protokollmatchfilter>
Toppnivåfilter för ek, json, jsonraw och pdml; tar med föräldranod och alla barn.
-l
Töm standardutmatning efter varje paket.
-L|--list-data-link-types
Lista datalänktyper som stöds av gränssnittet.
-o <inställning>:<värde>
Sätt en inställning tillfälligt.
-O <protokoll>
Visa detaljerad information bara för angivna protokoll.
-p|--no-promiscuous-mode
Sätt inte gränssnittet i promiscuöst läge.
-P|--print
Visa paket även om rå paketdata skrivs med -w.
-q
Minska utmatningen; användbart tillsammans med statistikflaggan -z.
-Q
Undertryck nästan all statusutmatning utom verkliga fel.
-r|--read-file <infil>
Läs paket från fångstfil.
-R|--read-filter <filter>
Läs-/visningsfilter för första analysomgången. Meningsfullt främst med -2.
-s|--snapshot-length <snaplen>
Sätt snapshot-längd för livefångst.
-S <separator>
Sätt radseparator mellan paket.
-T ek|fields|json|jsonraw|pdml|ps|psml|tabs|text
Välj utformat. Exempel:
  • text – textsammanfattning eller detaljvy
  • fields – utvalda fält
  • json – JSON
  • jsonraw – JSON med rådata
  • pdml – XML-baserad paketdetalj
  • psml – XML-baserad paketsammanfattning
  • ek – NDJSON för Elasticsearch
--temp-dir <katalog>
Ange katalog för temporära filer.
-U <tap-namn>
Exportera PDU:er från infil till utfil enligt angivet tap-namn.
-v|--version
Skriv fullständig versionsinformation och avsluta.
-V
Visa detaljerad paketvy.
-w <utfil>|-
Skriv rå paketdata till fil eller standardutmatning.
-W <filformatsalternativ>
Spara extra information i fångstfilen, till exempel:
  • n — skriv namnuppslagning för nätverksadresser (endast pcapng)
-x
Visa hex- och ASCII-dump av paketdata.
--hexdump <hexalternativ>
Finare styrning av hexdump. Exempel:
  • all
  • frames
  • ascii
  • delimit
  • noascii
  • time
  • notime
  • help
-X <utökningsalternativ>
Skicka alternativ till TShark-moduler, t.ex. Lua-skript eller läsformat.
-y|--linktype <länktyp>
Sätt datalänktyp för fångst.
-Y|--display-filter <filter>
Använd visningsfilter innan paket skrivs ut eller sparas.
-M <antal paket>
Återställ intern session automatiskt efter visst antal paket.
-z <statistik>
Samla statistik och visa resultat efter att fångstfilen lästs klart.
--capture-comment <kommentar>
Lägg till fångstkommentar i utfil, om formatet stöder det.
--list-time-stamp-types
Lista tidsstämpeltyper som stöds.
--no-optimize
Kör inte libpcap-optimeraren vid generering av fångstfilterkod.
--time-stamp-type <typ>
Byt gränssnittets tidsstämpelmetod.
--update-interval <millisekunder>
Ange intervall mellan uppdateringar under fångst.
--color
Aktivera färgning av paket enligt Wiresharks färgregler.
--no-duplicate-keys
Skriv JSON-nycklar bara en gång genom att samla flera värden i en array.
--elastic-mapping-filter <protokoll>,...
Begränsa vilka protokoll som tas med i Elasticsearch-mappning.
--export-objects <protokoll>,<katalog>
Exportera objekt inom ett protokoll till katalog.
--print-timers
Skriv JSON med tidsåtgång för varje analysomgång.
--compress <typ>
Komprimera utfil med angiven metod.

DISSEKERINGSALTERNATIV

-d <lagertyp>==<selektor>,<decode-as-protokoll>
Anger hur en viss lagertyp ska dissekeras, liknande Wiresharks Decode As....

Exempel: 

-d tcp.port==8888,http
-d tcp.port==8888-8890,http
-d tcp.port==8888:3,http
--disable-all-protocols
Inaktivera dissekering av alla protokoll.
--disable-protocol <protokoll>[,<protokoll>,...]
Inaktivera specifika protokoll.
--disable-heuristic <kortnamn>
Inaktivera heuristisk dissektor.
--enable-protocol <protokoll>[,<protokoll>,...]
Aktivera specifika protokoll.
--enable-heuristic <kortnamn>
Aktivera heuristisk dissektor.
-K <keytab>
Läs Kerberos-nycklar från keytab-fil.
-n
Inaktivera namnuppslagning för nätverksobjekt.
-N <flaggor>
Aktivera viss typ av namnuppslagning:
  • d – från fångade DNS-paket
  • g – geolokalisering
  • m – MAC-adresser
  • n – nätverksadresser
  • N – externa resolvers
  • s – SNI-baserad adressupplösning
  • t – transportportar
  • v – VLAN-ID till namn
--only-protocols <protokoll>
Aktivera endast dessa protokoll och inaktivera övriga.
-t (a|ad|adoy|d|dd|e|r|rc|u|ud|udoy)[.[N]]|.[N]
Sätt format för paketens tidsstämplar.
-u <s|hms>
Välj hur relativa tider visas: sekunder eller timmar/minuter/sekunder.

DIAGNOSTIKALTERNATIV

--log-level <nivå>
Sätt aktiv loggnivå. Möjliga nivåer:
noisy, debug, info, message, warning, critical, error
--log-fatal <nivå>
Avbryt programmet om meddelanden loggas på denna nivå eller högre.
--log-domains <lista>
Visa endast meddelanden från angivna loggdomäner.
--log-debug <lista>
Tvinga angivna domäner att logga på debug-nivå.
--log-noisy <lista>
Tvinga angivna domäner att logga på noisy-nivå.
--log-fatal-domains <lista>
Avbryt programmet om meddelanden loggas från angivna domäner.
--log-file <sökväg>
Skriv loggmeddelanden och stderr till angiven fil.

SYNTAX FÖR FÅNGSTFILTER

Se manualsidan för pcap-filter(7) eller, om den inte finns, tcpdump(8).

SYNTAX FÖR LÄS-/VISNINGSFILTER

För fullständig tabell över protokoll och protokollfält som kan filtreras i TShark, se manualsidan wireshark-filter(4).

FILER

Följande filer innehåller olika inställningar för Wireshark och därmed även TShark:

Inställningar

Filen preferences innehåller globala och personliga inställningar i formatet: 

prefname:value

Inaktiverade/aktiverade protokoll

Filerna disabled_protos och enabled_protos styr vilka protokoll som är inaktiverade respektive aktiverade.

Heuristiska dissektorer

Filen heuristic_protos anger om heuristiska dissektorer är aktiverade eller inaktiverade.

Namnuppslagning

TShark/Wireshark kan använda flera typer av hjälpfiler:

  • hosts – namn för IPv4/IPv6-adresser
  • subnets – partiell namnmatchning för IPv4-nät
  • ethers – namn för EUI-48/EUI-64-adresser
  • manuf – tillverkare för MAC-adressprefix
  • services – portnummer till tjänstnamn
  • ipxnets – IPX-nät till namn
  • ss7pcs – SS7-punktkoder till namn
  • vlans – VLAN-ID till namn

Färgfilter

Filen colorfilters innehåller systemomfattande eller personliga färgregler.

Insticksmoduler

Wireshark/TShark letar efter plugins i både personlig och global pluginkatalog.

UTDATA

TShark använder UTF-8 internt. I vissa fall kan utmatningen ändå bli ogiltig UTF-8, till exempel om en dissektor genererar felaktiga byteföljder.

På UNIX-liknande system kan utmatningen omkodas för att matcha aktuell lokal om terminalen inte stöder UTF-8.

På Windows kodas dissektionsutmatning till UTF-16LE när den skrivs till konsolen. Annan utmatning är UTF-8.

MILJÖVARIABLER

Följande miljövariabler påverkar TShark:

WIRESHARK_CONFIG_DIR
Åsidosätter platsen för personliga konfigurationsfiler.
WIRESHARK_DEBUG_WMEM_OVERRIDE
Tvingar wmem-ramverket att använda angiven allocator-backend.
WIRESHARK_RUN_FROM_BUILD_DIRECTORY
Laddar plugins och datafiler från byggkatalogen.
WIRESHARK_DATA_DIR
Laddar datafiler från annan katalog än standard.
WIRESHARK_EXTCAP_DIR
Kör extcap-program och skript från annan katalog.
WIRESHARK_PLUGIN_DIR
Laddar plugins från annan katalog.
ERF_RECORDS_TO_CHECK
Antal ERF-poster att kontrollera för formatidentifiering.
IPFIX_RECORDS_TO_CHECK
Antal IPFIX-poster att kontrollera för formatidentifiering.
WIRESHARK_ABORT_ON_DISSECTOR_BUG
Avbryt programmet om ett dissektorfel upptäcks.
WIRESHARK_ABORT_ON_TOO_MANY_ITEMS
Avbryt programmet om en dissektor försöker lägga till för många trädobjekt.
WIRESHARK_LOG_LEVEL
Styr loggnivå för diagnostiska meddelanden.
WIRESHARK_LOG_FATAL
Anger loggnivå som ska vara fatal.
WIRESHARK_LOG_DOMAINS
Väljer aktiva loggdomäner.
WIRESHARK_LOG_DEBUG
Domäner som ska använda debug-nivå.
WIRESHARK_LOG_NOISY
Domäner som ska använda noisy-nivå.

SE ÄVEN

ANMÄRKNINGAR

Detta är manualsidan för TShark 4.7.0. TShark är en del av Wireshark-distributionen.

FÖRFATTARE

TShark använder samma kod för paketdissekering som Wireshark, samt många andra moduler från Wireshark. Se Wiresharks manualsida för författarlista.

Sidslut

Orginalhemsidan på Engelska https://man7.org/linux/man-pages/man1/tshark.1.html Det här är en maskinöversättning av Linux man sidor till svenska. Om du hittar fel är vi tacksamma om du rapporterar dem via formuläret som finns på https://www.linux.se/kontaka-linux-se/

Tack till Datorhjälp Stockholm som har sponsrat Linux.se med webbhotell.

Hämtad från "https://wiki.linux.se/index.php?title=tshark(1)&oldid=8803"