yum install -y wireshark最近才发现,原来wireshark也提供有Linux命令行工具-tshark。tshark不仅有抓包的功能,还带了解析各种协议的能力。下面我们以两个实例来介绍tshark工具。tshark -s 512 -i eth0 -n -f 'tcp dst port 3306' -R 'mysql.query' -T fields -e mysql.query-s 512 :只抓取前512个字节数据
-s   捕获快照长度设置默认的快照长度来使用 当捕获实时数据。 顶多每个网络包的快照长度字节会被读入到内存或者保存到磁盘。一个值为65536,那么整个包会被捕获 这是默认的这个选项可以发生很多次, -n  禁用网络对象名字解析(比如主机名,TCP和UDP 端口名字)  -f  <capture filter>Set the capture filter expression.  设置捕获过滤器表达式-f 'tcp dst port 3306' :只捕捉协议为tcp,目的端口为3306的数据包tshark -i eth1 -n -f 'tcp dst port 3306' -R 'mysql.query' -T fields -e mysql.query-R 'mysql.query' :过滤出mysql.query-T fields -e mysql.query :打印mysql查询语句-e 字段增加一个字段到字段的列表来显示 如果 -F 字段是选择的,这个选项可以使用多次在命令行 至少一个字段是必须提供的tshark -s 65536 -n -i eth0 -R 'mysql.query' -T fields -e "ip.src" -e "mysql.query"tshark -s 65536 -n -i eth1 -R 'mysql.query' -T fields -e "ip.src" -e "mysql.query"zabbix:/root#  tshark -s 65536 -n -i eth1 -f 'tcp dst port 3306' -R 'mysql.query||mysql.user' -T fields -e ip.addr -e tcp.port -e frame.time -e mysql.user -e mysql.querytshark -i eth1 -n -f 'tcp dst port 3306' -R 'mysql.query  matches "^(?!(?i)select).*" || mysql.user' -T fields -e ip.addr -e tcp.port -e frame.time -e mysql.user -e mysql.query tshark -s 65536 -n -i eth1 -f 'tcp dst port 3306' -R 'mysql  matches  "delete|DELETE|Delete|UPDATE|update|Update|insert|INSERT|Insert"' -T fields -e ip.addr -e tcp.port -e frame.time -e mysql.user -e mysql.query 抓包:Vsftp:/data02/audit#  tshark -s 65536 -n -i eth1 -f 'tcp dst port 3306' -R 'mysql  matches  "delete|DELETE|Delete|UPDATE|update|Update|insert|INSERT|Insert"' -T fields -e ip.addr -e tcp.port -e frame.time -e mysql.user -e mysql.query
Running as user "root" and group "root". This could be dangerous.
Capturing on eth1192.168.11.185,192.168.11.187  47677,3306  Dec  7, 2016 15:21:24.751464505     delete from t1
192.168.11.185,192.168.11.187   47677,3306  Dec  7, 2016 15:21:25.302466232     delete from t1
192.168.11.185,192.168.11.187   47677,3306  Dec  7, 2016 15:21:25.767454007     delete from t1mysql 5.6版本有源IP和源端口但是mysql 5.1 版本就比较特殊:192.168.5.17   3306    Dec  7, 2016 15:25:12.290737000     delete from async_message where id=598756
192.168.5.17    3306    Dec  7, 2016 15:25:12.291717000     UPDATE real_time_room_sta SET is_live='F' WHERE hotel_group_id=1 and hotel_id=555
192.168.5.17    3306    Dec  7, 2016 15:25:12.294355000     UPDATE real_time_room_sta SET is_live='T' WHERE hotel_group_id=1 and hotel_id=555 AND rmno IN('201','202','209','223','225','237','253','255','269')
504 packets captured
[root@pms-db-bf audit]#  tshark -s 65536 -n -i eth0 -f 'tcp dst port 3306' -R 'mysql  matches  "(?i)delete|update|insert"' -T fields -e ip.addr -e tcp.port -e frame.time -e mysql.user -e mysql.query就抓不到源端口和源IPtshark -s 65536 -n -i eth1 -f 'tcp dst port 3306' -R 'mysql  matches  "(?i)delete|update|insert"' -T fields -e ip.addr -e tcp.port -e frame.time -e mysql.user -e mysql.query原因 tshark 版本不同:Vsftp:/data02/audit# tshark -version
TShark 1.8.10 (SVN Rev Unknown from unknown)[root@pms-db-bf sbin]# tshark -version
TShark 1.0.15CentOS 5.8 升级tsharkVsftp:/data02/audit# rpm -qa | grep wireshark
wireshark-1.8.10-17.el6.x86_64[root@pms-db-bf sbin]# rpm -qa | grep wireshark
wireshark-1.0.15-7.el5_11

tshark 使用说明相关推荐

  1. abaqus高性能服务器怎么用,高性能计算平台ABAQUS任务调度使用说明作者陈林E-Mailchenlin.PDF...

    高性能计算平台ABAQUS任务调度使用说明作者陈林E-Mailchenlin.PDF 高性能计算平台ABAQUS 任务调度使用说明 作者:陈林 E-Mail:chenlin@ 日期:2017-1-10 ...

  2. linux 文件拷贝并替换,Linux_cmd replace 文件替换使用说明,帮助信息: 复制代码 代码如 - phpStudy...

    cmd replace 文件替换使用说明 帮助信息: 复制代码 代码如下: 替换文件. REPLACE [drive1:][path1]filename [drive2:][path2] [/A] [ ...

  3. Simple Dynamic Strings(SDS)源码解析和使用说明二

    在<Simple Dynamic Strings(SDS)源码解析和使用说明一>文中,我们分析了SDS库中数据的基本结构和创建.释放等方法.本文将介绍其一些其他方法及实现.(转载请指明出于 ...

  4. Delphi开发的IOCP测试Demo以及使用说明。

    Delphi开发的IOCP,此为压力测试Demo和使用说明.

  5. oracle database link mysql_oracle database link使用说明

    oracle database link使用说明 作用: 将多个oracle数据库逻辑上看成一个数据库,也就是说在一个数据库中可以操作另一个数据库中的对象. 简易语法: CREATE [PUBLIC] ...

  6. 序列拼接工具Bowtie使用说明

    序列拼接工具Bowtie使用说明 2011-06-08 ~ ADMIN Bowtie是一个超级快速的,较为节省内存的短序列拼接至模板基因组的工具.它在拼接35碱基长度的序列时,可以达到每小时2.5亿次 ...

  7. benchmarksql测试mysql_数据库压力测试工具 -- BenchmarkSQL 使用说明

    关于数据库的压力测试,之前写过3篇Blog: 数据库基准测试(Database Benchmarking) 说明 数据库压力测试工具 -- Hammerdb 使用说明 数据库压力测试工具 -- Swi ...

  8. 计算机网页基础课专业,关于《计算机应用基础》课程网页下的学习资源使用说明....

    关于<计算机应用基础>课程网页下的学习资源使用说明. 关于<计算机应用基础>课程网页下的学习资源使用说明 各位同学:大家好! 07春学期已接近一半的时间了,新生对课程还需要更多 ...

  9. gh ost mysql_MySQL在线DDL gh-ost 使用说明

    3)使用说明:条件是操作的MySQL上需要的binlog模式是ROW.如果在一个从上测试也必须是ROW模式,还要开启log_slave_updates.根据上面的参数说明按照需求进行调整. 环境:主库 ...

最新文章

  1. java带参数的方法笔记_具有Java参数的方法的类声明
  2. 鸟哥的Linux私房菜(基础学习,服务器架设)
  3. Android 系统当中各种尺寸单位的定义及使用
  4. Git下载与使用(Git地址由CSDN提供)
  5. 悖论对计算机科学影响,引力波的发现对计算机科学有什么意义?
  6. JavaScript call()函数的应用
  7. linux内核的I2C子系统详解5——i2c_driver的注册、i2c_client的来源
  8. java slot_LocalVariableTable之 Slot 复用
  9. C# 数据类型转换
  10. 关于wordpress站点地图代码调试
  11. 集成mysql+tomcat+apache+Eclipse的绿色版开发环境
  12. springboot 微服务_Spring Boot在微服务中的最佳实践
  13. Sqlmap命令讲解
  14. 统计学考研笔记:季度指数
  15. 计算机路由器无线级联配置,两个无线路由器级联怎么设置?
  16. MySQL轻快入门2021.3.18(事务)
  17. 如何训练出专属的 OpenAI Five ?
  18. java里面怎么生成备注时间_Android studio 创建java文件时 注解显示作者、日期、时间...
  19. LWN:5.18 合并窗口,第二部分!
  20. win7修改本计算机端口,如何更改Windows7 的远程桌面端口3389

热门文章

  1. Android 安卓告别SharedPreFerences,你好MMKV
  2. 手机ftp服务器进入制定文件夹,ftp服务器 指定文件夹
  3. 小程序可以删除或者注销吗
  4. hangfire入门
  5. rand和srand怎么用?
  6. 银行春招:六大行薪资待遇知多少?(上)
  7. mysql 删除 某字段中的指定字符串
  8. pointpillars--kitti训练
  9. 数据库SQL语句UPDATE能否修改主码
  10. 英文排版系统C语言实现