问题描述
我正在使用以下命令通过tshark查找 TCP重传。我想在时间间隔列
中添加时间戳记tshark -i em3 -q -z io,stat,2,"COUNT(tcp.analysis.retransmission) tcp.analysis.retransmission"
Running as user "root" and group "root". This Could be dangerous.
Capturing on 'em3'
^C429556 packets captured
=========================================================================
| IO Statistics |
| |
| Interval size: 2 secs |
| Col 1: Frames and bytes |
| 2: COUNT(tcp.analysis.retransmission) tcp.analysis.retransmission |
|-----------------------------------------------------------------------|
| |1 |2 | |
| Interval | Frames | Bytes | COUNT | |
|---------------------------------------| |
| 0 <> 2 | 13 | 810 | 0 | |
| 2 <> 4 | 17 | 1062 | 0 | |
| 4 <> 6 | 23889 | 67716172 | 5 | |
| 6 <> 8 | 85710 | 240490860 | 11 | |
| 8 <> 10 | 85810 | 240475662 | 9 | |
| 10 <> 12 | 86033 | 240492476 | 11 | |
| 12 <> 14 | 86172 | 240501536 | 10 | |
| 14 <> 16 | 61895 | 173008883 | 5 | |
| 16 <> 18 | 14 | 882 | 0 | |
| 18 <> 18 | 3 | 180 | 0 | |
=========================================================================
解决方法
您可以添加-t开关以显示时间或日期和时间等。从tshark man:
-t a | ad | adoy | d | dd | e | r | u | ud | udoy 设置打印在摘要行中的数据包时间戳的格式。格式可以是以下一种:
绝对时间:绝对时间(作为您所在时区的本地时间)是数据包被捕获的实际时间,没有显示日期
带日期的绝对绝对值:绝对日期(显示为YYYY-MM-DD)和时间(以您所在时区的本地时间表示)是捕获数据包的实际时间和日期
...