Conversion de frame.time en epoch

Question

En utilisant la commande suivante, quelles modifications doivent être effectuées pour obtenir frame.time as epoch dans tshark?

tshark -T fields -n -r btle.pcap -E separator=, -e frame.time -e btle_rf.access_address_offenses -e btle_rf.channel -e btle_rf.flags -e btle_rf.flags.access_address_offenses_valid -e btle_rf.flags.channel_aliased -e btle_rf.flags.crc_checked -e btle_rf.flags.crc_valid -e btle_rf.flags.decrypted -e btle_rf.flags.dewhitened -e btle_rf.flags.mic_checked -e btle_rf.flags.mic_valid -e btle_rf.flags.noise_dbm_valid -e btle_rf.flags.reference_access_address_valid -e btle_rf.flags.rfu.1 -e btle_rf.flags.rfu.2 -e btle_rf.flags.signal_dbm_valid -e btle_rf.noise_dbm -e btle_rf.reference_access_address -e btle_rf.signal_dbm -e btle_rf.signed_byte_unused -e btle_rf.unsigned_byte_unused -e btle_rf.word_unused>btle.csv 

Answer 1

Tant que vous utilisez Wireshark 1.4.0 ou version ultérieure, vous pouvez essayer de changer -e frame.time--e frame.time_epoch. Si vous utilisez une version plus ancienne de Wireshark, je vous suggère de passer à une version plus récente. Avec la dernière version stable de Wireshark (2.2.7 à ce jour), tous les filtres de trame sont documentés dans View -> Internals -> Protocoles supportés -> Frame -> ... et vous pouvez toujours référence la page en ligne Display Filter Reference aussi bien.