Tshark
Tshark -D 를누르면인터페이스목록이출력된다.
캡쳐할라는인터페이스번호를선택한다. (예. 1번)
Tshark -i 1
필터옵션을주자
-f tcp port 1111 or 2222
시간옵션을주자
-u hms
파일로남기자..
-w c:\log\
해당 옵션을 주고난후 실행되는 커멘드는 아래와 같음.
tshark.exe -i 1 -f “tcp port 1111 or 2222” -u hms -w c:\log\packet_dump.pcap
스케쥴을 등록할때는 1시간에 한번씩 실행되도록.
시간단위로자르는스크립트 ( 스케쥴러로한시간단위로실행되도록?)
for /f “tokens=2-3 delims=- ” %%i in (‘date/t’) do @set DT=%%i%%j
for /f “tokens=2-3 delims=: ” %%i in (‘time/t’) do @set tm=%%i
::taskkill /f /im tshark.exe
“C:\Program Files\Wireshark\tshark.exe” -i 1 -f “tcp port 1234” -w c:\log\packet_dump_%dt%_%tm%.pcap -a duration:3600
