最近，需要将wireshark监听的数据进行提取，分两步：首先，应该得出wireshark的数据包吧，在图形化界面中可以非常直观的将监听数据进行存储，但是这样需要手动操作非常麻烦，而且容易出错（随着处理数据包的数量增加，图形化可能吃不消，以前就遇见过），在linux下，采用了tshark命令，tshark就是wireshark图形界面命令行化，命令如下：

sudo tshark -f "udp port 1243"  -i eth0 (-w)> /tmp/capture.cap

对上面的命令进行解释："udp port 1243"，双引号内的东西就是对需要监听的内容进行一个筛选，也就是端口号为1243的udp数据包，-i后面就是需要监听的接口，接口后面的（-w）和（>）两个选项，表示需要存储文件的格式，-w存储的可能是二进制文件，例如，使用-w的话，那么这行命令执行以后capture.cap就是二进制的文件，那么使用>以后，则保存的文本文件，当然，现在需要的是纯文本文件，最后则是文件需要保存的路径以及名称。

第一步完成以后，则需要从数据中提取出来需要的数据，比如时间，源、目的地址等有用信息，我们采用如下命令：

sudo cat /tmp/capture.cap | awk'{print $1"\t" $2"\t" $3}' > /tmp/capture.txt

此时cat的任务就是将需要被提取的文件展现出来，通过管道，将输出内容作为awk命令的输入，awk是一个非常好的数据处理工具。具体见鸟哥的私房菜基础篇363页！，同样的输出为纯文本格式文件capture.txt，完成了上述的工作，我想放入同一个脚本就能非常轻松的调用而且不用出错，将上述两行命令输入一个脚本中，但是我发现无法出来capture.txt文件，后来发现自己SB了，脚本是一行一行执行，第一行是一直执行的，根本执行不到第二行来，后来在第一行后面加上&，让其进行后台运行，capture.txt，倒是可以出来但是内容为空白，因为该文件仅仅在上面文件创建了就开始抓取自己的内容，当然什么也没有。

后来我想，我要的只是最后经过调整的数据，不需要中间数据啊，为什么不直接一条命令进行提取不就完了，于是将两个命令融合如下：

sudo tshark -f "udp port 1243" -i eth0 |awk '{print $1 "\t" $2 "\t" $3}' > /tmp/capture.txt