我有一堆用tcpdump创建的pcap文件。我想将这些存储在数据库中,以便于查询,索引等。我认为mongodb可能是一个不错的选择,因为以Wireshark / TShark将它们呈现为JSON文档的方式存储数据包似乎很自然。
应该可以使用tshark创建PDML文件,解析这些文件并将它们插入到mongodb中,但是如果有人知道现有/其他解决方案,我很好奇。
答案 0 :(得分:9)
Wireshark具有将其捕获文件导出到JSON的功能。
File-> Export Packet Dissections-> As JSON
答案 1 :(得分:9)
在命令行(Linux,Windows或MacOS)上,您可以使用tshark。
e.g。
tshark -r input.pcap -T json >output.json
或使用过滤器:
tshark -2 -R "your filter" -r input.pcap -T json >output.json
考虑到你提到了一组pcap文件,你也可以将pcap文件预先合并到一个pcap中,然后如果愿意的话一次导出它。
mergecap -w output.pcap input1.pcap input2.pcap..
答案 2 :(得分:1)