objectif
Observer le trafic HTTP sans ouvrir Wireshark, en filtrant et exportant des champs utiles.
code minimal
sudo tshark -i eth0 -Y 'http' -T fields -e frame.time -e ip.src -e ip.dst -e http.host -e http.request.uri -e http.response.code -E header=y -E separator=, -E quote=d -E occurrence=f
utilisation
# enregistrer vers un fichier CSV
sudo tshark -i eth0 -a duration:30 -Y 'http' -T fields -e http.host -e http.request.uri -E header=y -E separator=, > http.csv
variante(s) utile(s)
# lire depuis un pcap existant
tshark -r capture.pcap -Y 'http.response.code==500' -T fields -e frame.time -e http.host -e http.request.uri
notes
- privilégiez une interface de test et respectez la loi et la vie privée.
- adaptez les filtres d’affichage (
-Y) à votre besoin (http2, tls).