Mode d'emploi Tshark
Pour installer Tshark sous Windows :
Installer tout simplement wireshark
Pour installer Tshark sous Debian / Ubuntu :
sudo apt install tshark
Pour capturer la totalité des paquets et faire des fichier horodatés de 100 Mo sans limite :
Sous windows : "c:\Program Files\Wireshark\tshark.exe" -i 2 -b filesize:100000 -n -w c:\captures\fichier.pcap
Sous linux : # tshark -b filesize:100000 -i eth0 -n -w fichier.pcap
Créer un buffer circulaire de 10 fichiers de 100000 Mo :
Sous windows : "c:\Program Files\Wireshark\tshark.exe" -i 2 -b filesize:100000 -b files:10 -n -w c:\captures\fichier.pcap
Sous linux : # tshark -b filesize:100000 -b files:10 -i eth0 -n -w fichier.pcap
La capture change de fichier tous les 100 Mo et seuls les 10 derniers fichiers sont conservés.
Attention, si tshark est arrêté et redémarré, on a 10 nouveaux fichiers (les 10 de la précédente commande sont gardés indéfiniment)
Faire une capture de 100 Mo puis arrêter en affichant les statistiques RTP (perte de paquets) :
Sous windows : "c:\Program Files\Wireshark\tshark.exe" -i 2 -n -w test.pcap -a filesize:100000 -z rtp,streams
Sous linux : # tshark -i eth0 -n -w test.pcap -a filesize:100000 -z rtp,streams
# tshark -i eth0 -n -w test.pcap -a filesize:100000 -z rtp,streams
Running as user "root" and group "root". This could be dangerous.
Capturing on eth4
73938 packets captured
========================= RTP Streams ========================
Src IP addr Port Dest IP addr Port SSRC Payload Pkts Lost Max Delta(ms) Max Jitter(ms) Mean Jitter(ms) Problems?
84.96.146.150 5000 233.136.0.116 65000 0x1324FE6A MPEG-II transport streams 73879 0 (0.0%) 7.39 0.58 0.17
==============================================================
Faire une capture de 10 min puis arrêter en affichant les statistiques RTP (perte de paquets) :
Sous windows : "c:\Program Files\Wireshark\tshark.exe" -i 2 -n -w test.pcap -a duration:600 -z rtp,streams
Sous linux : # tshark -i eth0 -n -w test.pcap -a duration:600 -z rtp,streams
Vérifier les pertes de paquets du flux TV pendant 10minutes (statistiques RTP) :
Sous windows : "c:\Program Files\Wireshark\tshark.exe" -i 2 -a duration:600 -q -z rtp,streams
Sous linux : # tshark -i eth0 -a duration:600 -q -z rtp,streams
# tshark -i eth0 -a duration:600 -q -z rtp,streams
Running as user "root" and group "root". This could be dangerous.
Capturing on eth0
141961 packets captured
========================= RTP Streams ========================
Src IP addr Port Dest IP addr Port SSRC Payload Pkts Lost Max Delta(ms) Max Jitter(ms) Mean Jitter(ms) Problems?
84.96.146.150 5000 233.136.0.116 65000 0x1324FE6A MPEG-II transport streams 141656 639 (0.4%) 922.74 2.27 0.26 X
==============================================================
Ne pas afficher les paquets capturés (pour batch) : rajouter l'option -q