PCAPを処理するためにtsharkをsuとして使用すると、GeoIPは機能しません。

PCAPを処理するためにtsharkをsuとして使用すると、GeoIPは機能しません。

私は多数のPCAPファイルを扱っており、テーブル形式の分析のためにそのファイルを.tsvファイルに変換しようとしています。そのため、Ubuntu 22 VirtualBoxシステムでtsharkを使用して各パケットをプロファイルしました。for各PCAPファイルを処理するためにループで使用されるbashコマンドがあります。

tshark -r "${pcapFile}" -2 \
        -T fields \
        -E separator=/t \
        -E header=y \
        -E quote=d \
        -e frame.time_epoch \
        -e _ws.col.Info \
        -e _ws.col.Protocol \
        -e ip.src \
        -e ip.dst \
        -e ip.proto \
        -e ip.version \
        -e ip.hdr_len \
        -e ip.src_host \
        -e ip.dst_host \
        -e ip.geoip.dst_city \
        -e ip.geoip.dst_country_iso \
        -e ip.geoip.dst_asnum \
        -e ip.geoip.src_city \
        -e ip.geoip.src_country_iso \
        -e ip.geoip.src_asnum \
        -e eth.src \
        -e eth.dst > "${OUTPUT_FOLDER}/${filename}.tsv"

奇妙な結果が表示されます。

  1. sudo実行処理中にこのコマンドを実行すると、たくさんないよりも早く走ってくださいsudo
  2. このコマンドを実行するとsudoこのgeoipフィールドは空ですが、そうでない場合はsudo入力されます。

処理する必要があるpcapファイルが多く、すばやく移動したいので、ここで2つの利点を最大限に活用したいと思います。さらに、このgeoip情報も本当に必要です。geoipフィールドをインポートできない理由、およびsudo/またはそのフィールドがないと処理が迅速に実行されないのはなぜですかsudo

tshark バージョン: 3.6.7-1~ubuntu22.04.0+wiresharkdevstablewireshark
バージョン: 3.6.7-1~ubuntu22.04.0+wiresharkdevstable
システム仕様: 12 CPU、24 GB RAM、Ubuntu 22.04

答え1

あなたは持つことができます一般ユーザーとしてGeoIPデータベースをインストールするルートではありません。そのため、rootとして実行するときに何も見つける必要はありません。

私はここで両方の世界の利点を楽しむことを願っています。

残念ながら、おそらくそれを行うことはできません。

関連情報