我有一些日志文件,我想将其转换为 PCAP 文件格式,以便在 Wireshark 中打开。日志文件是汽车固件更新的 UDS(统一诊断服务)日志。这样做的最佳做法是什么?
日志文件行如下所示:
***BUSMASTER Ver 3.2.1***
***PROTOCOL CAN***
***NOTE: PLEASE DO NOT EDIT THIS DOCUMENT***
***[START LOGGING SESSION]***
***START DATE AND TIME 4:6:2018 9:2:12:212***
***HEX***
***SYSTEM MODE***
***START CHANNEL BAUD RATE***
***CHANNEL 2 - Kvaser - Kvaser USBcan Pro 5xHS #0 (Channel 1), Serial Number- 0, Firmware- 0x0000013b 0x00030007 - 500000 bps***
***END CHANNEL BAUD RATE***
***START DATABASE FILES***
***END DATABASE FILES***
***<Time><Tx/Rx><Channel><CAN ID><Type><DLC><DataBytes>***
00:00:00:0000 Rx 2 0x064 s 8 20 20 20 20 20 20 20 20
00:00:00:0574 Rx 2 0x7cd s 8 4d 72 2e 20 61 6e 64 20
00:00:00:0952 Rx 2 0x7df s 8 02 01 00 00 00 00 00 00
00:00:00:1457 Rx 2 0x05b s 8 ad dc 0b cc 0a c3 49 40
00:00:00:2069 Rx 2 0x05c s 8 63 d3 4a 21 90 4b c4 bf
00:00:00:2649 Rx 2 0x7cd s 8 4d 72 73 2e 20 44 75 72
我有一些日志文件,我想将其转换为 PCAP 文件格式,以便在 Wireshark 中打开。日志文件是汽车固件更新的 UDS(统一诊断服务)日志。
...
***BUSMASTER Ver 3.2.1***
...
***CHANNEL 2 - Kvaser - Kvaser USBcan ...
...
***<Time><Tx/Rx><Channel><CAN ID><Type><DLC><DataBytes>***
如果您正在使用 Busmaster,请注意 Wireshark 可以读取 Busmaster 日志文件 - 它 not 仅限于读取 pcap 和 pcapng 文件。尝试在 Wireshark 中打开该日志文件。
安装tcpdump:使用网络嗅探器生成PCAP文件,tcpdump是 一个流行的开源数据包分析器,您可以将其用于此目的。
将日志转换为TCP流:使用以下命令进行转换
记录到 TCP 流:
$ awk '{print "192.168.1.1",$1,"192.168.1.2",$4,$5,$7}' access_log > http.req
此命令将从每个日志条目打印源 IP 地址(192.168.1.1)、HTTP 方法(GET 或 POST)、目标 IP 地址(192.168.1.2)、响应代码、响应大小和 URL 路径到 HTTP.req文件。
$ sudo tcpdump -nn -r http.req -w http.pcap
此命令将从
http.reqhttp.pcap