DCI - Toms Admin Blog

WireShark mit TShark in der Befehlszeile verwenden

Schreibe einen Kommentar

Wireshark kann auch über die Befehlszeile verwendet werden, obwohl die meisten Funktionen über die grafische Benutzeroberfläche zugänglich sind. Es gibt ein Kommandozeilen-Tool namens TShark, das Teil der Wireshark-Suite ist und die gleiche Analysefähigkeit wie die grafische Oberfläche bietet, aber über die Befehlszeile gesteuert wird. Mit TShark können Administratoren zum Beispiel den Netzwerkverkehr aufzeichnen, Protokolle aus Netzwerkverkehr extrahieren und Protokollstatistiken erzeugen.

Durch die Eingabe von „tshark“ startet das Tool die Aufzeichnung und zeigt den Datenverkehr im Fenster an. 

So funktioniert TShark

Eines der wichtigsten Verwendungszwecke von TShark ist die Aufzeichnung von Netzwerkverkehr. Dies kann erreicht werden, indem TShark mit dem Befehl „tshark -i [interface] -w [filename]“ gestartet wird, wobei [interface] das Netzwerkinterface ist, von dem Verkehr aufgezeichnet werden soll, und [filename] der Name der Datei ist, in der der Verkehr gespeichert werden soll. Während TShark läuft, wird Netzwerkverkehr aufgezeichnet und kann später mit Wireshark oder einem anderen Analyse-Tool untersucht werden.

Ein weiteres wichtiges Anwendungsgebiet von TShark ist die Extraktion von Protokollen aus Netzwerkverkehr. Hierfür kann TShark mit dem Befehl „tshark -r [filename] -T fields -e [field]“ gestartet werden, wobei [filename] der Name der aufgezeichneten Verkehrsdatei ist, -T fields das Format für die Ausgabe von Protokollen angibt und -e [field] die Protokollfelder definiert, die extrahiert werden sollen. Hiermit können Administratoren beispielsweise eine Liste aller IP-Adressen erhalten, die Netzwerkverkehr senden oder empfangen, oder eine Liste aller URLs, die in einer Verkehrsaufzeichnung aufgezeichnet wurden.

Darüber hinaus kann TShark auch Protokollstatistiken erzeugen. Hierfür kann TShark mit dem Befehl „tshark -r [filename] -q -z io,stat, [filter]“ gestartet werden, wobei [filename] der Name der aufgezeichneten Verkehrsdatei ist, -q eine einfachere Ausgabe anzeigt und -z io,stat, [filter] die Protokollstatistiken angibt, die erzeugt werden sollen. Dadurch können Administratoren beispielsweise die Anzahl der gesendeten und empfangenen Pakete nach Protokolltyp, die Durchsatzrate und die Latenzzeit zwischen gesendeten und empfangenen Paketen analysieren.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.