私は多数のPCAPファイルを扱っており、テーブル形式の分析のためにそのファイルを.tsvファイルに変換しようとしています。そのため、Ubuntu 22 VirtualBoxシステムでtsharkを使用して各パケットをプロファイルしました。for
各PCAPファイルを処理するためにループで使用されるbashコマンドがあります。
tshark -r "${pcapFile}" -2 \
-T fields \
-E separator=/t \
-E header=y \
-E quote=d \
-e frame.time_epoch \
-e _ws.col.Info \
-e _ws.col.Protocol \
-e ip.src \
-e ip.dst \
-e ip.proto \
-e ip.version \
-e ip.hdr_len \
-e ip.src_host \
-e ip.dst_host \
-e ip.geoip.dst_city \
-e ip.geoip.dst_country_iso \
-e ip.geoip.dst_asnum \
-e ip.geoip.src_city \
-e ip.geoip.src_country_iso \
-e ip.geoip.src_asnum \
-e eth.src \
-e eth.dst > "${OUTPUT_FOLDER}/${filename}.tsv"
奇妙な結果が表示されます。
sudo
実行処理中にこのコマンドを実行すると、たくさんないよりも早く走ってくださいsudo
。- このコマンドを実行すると
sudo
このgeoip
フィールドは空ですが、そうでない場合はsudo
入力されます。
処理する必要があるpcapファイルが多く、すばやく移動したいので、ここで2つの利点を最大限に活用したいと思います。さらに、このgeoip
情報も本当に必要です。geoip
フィールドをインポートできない理由、およびsudo
/またはそのフィールドがないと処理が迅速に実行されないのはなぜですかsudo
?
tshark バージョン: 3.6.7-1~ubuntu22.04.0+wiresharkdevstablewireshark
バージョン: 3.6.7-1~ubuntu22.04.0+wiresharkdevstable
システム仕様: 12 CPU、24 GB RAM、Ubuntu 22.04
答え1
あなたは持つことができます一般ユーザーとしてGeoIPデータベースをインストールするルートではありません。そのため、rootとして実行するときに何も見つける必要はありません。
私はここで両方の世界の利点を楽しむことを願っています。
残念ながら、おそらくそれを行うことはできません。