Logstash
如何使用“-T 欄位”強制使用 tshark 擷取的流量的日期/時間格式?
我正在使用“-T 欄位”將 tshark 的流量擷取到 CSV 文件中,但無論我嘗試什麼,我都無法獲得一個好的 ISO 日期,甚至無法將時區更改為 UTC。
我正在使用的命令是
tshark.exe -i 2 -c 1 -T fields -e frame.time這給了我
Capturing on 'Realtek PCIe FE Family Controller' May 20, 2016 13:46:03.565211000 Hora oficial do Brasil我試過添加
- -o column.format:“時間,%Yut”
- -t 廣告
- -t 出
甚至“-t d”和“-t r”都不會改變格式。
我在 Windows 機器中執行 tshark,作業系統安裝在葡萄牙語 (pt-BR) 中,即使我在英語和葡萄牙語之間更改日期語言,我得到的只是日期和時區之間奇怪的語言混合。
Windows 下的 tshark 似乎忽略了格式化日期的所有選項。
我真的不需要 ISO 日期,但我需要一個可以用 logstash 中的 date{} 過濾器解析的日期。它幾乎可以解析我得到的那個,但它無法處理“Hora oficial do Brasil”,我無法擺脫 time.frame 文本。
更新:我發現在 Ubuntu 上“-t”參數也沒有效果。在那裡,tshark 使用與 Windows 中相同的格式列印日期/時間部分,但它從不列印時區名稱/偏移量/id。即使它是一個錯誤,Unix 行為也會解決我的問題……
此刻,不可能做我想做的事。
在 Wireshark Bug Database 上發布了針對此功能的增強請求。
#10220 - 將 ISO 8601 日期格式選項添加到 tshark -T 欄位(FT_ABSOLUTE_TIME 類型欄位)