← retour aux snippets

tshark: extraire des champs HTTP

Sniffer et exporter Host, Path, Code HTTP en CSV pour analyse rapide.

bash network #tshark#http#pcap

objectif

Observer le trafic HTTP sans ouvrir Wireshark, en filtrant et exportant des champs utiles.

code minimal

sudo tshark -i eth0 -Y 'http' -T fields -e frame.time -e ip.src -e ip.dst -e http.host -e http.request.uri -e http.response.code -E header=y -E separator=, -E quote=d -E occurrence=f

utilisation

# enregistrer vers un fichier CSV
sudo tshark -i eth0 -a duration:30 -Y 'http' -T fields -e http.host -e http.request.uri -E header=y -E separator=, > http.csv

variante(s) utile(s)

# lire depuis un pcap existant
tshark -r capture.pcap -Y 'http.response.code==500' -T fields -e frame.time -e http.host -e http.request.uri

notes

  • privilégiez une interface de test et respectez la loi et la vie privée.
  • adaptez les filtres d’affichage (-Y) à votre besoin (http2, tls).