Tshark 是 Wireshark 的命令行版本，它可以捕获和分析网络流量。

tshark常用命令-windows测试成功：

在 tshark 中，当你使用 -T fields 时，你只能指定单个字段，而不是一个字段列表。如果你想要显示多个字段，你需要多次使用

-e 参数。下面是一个示例效果：

分析的时候很可能需要使用sort以及uniq建议windows安装个git或者直接在linux机器上操作(安装git教程：https://blog.csdn.net/weixin_61485030/article/details/131114418)

在 Windows 操作系统中，将 Wireshark（其中包括 tshark）的安装目录添加到系统环境变量的步骤如下：

找到 Wireshark 安装目录：

你需要找到 Wireshark 的安装目录。默认情况下，Wireshark 通常安装在 C:\Program Files\Wireshark。确保你的安装目录是正确的。

找到系统环境变量设置：在 Windows 10 中，右键点击“开始”按钮，选择“系统”。在系统窗口中，点击左侧的“高级系统设置”。在系统属性窗口中，点击“高级”选项卡。然后点击“环境变量”按钮。编辑系统环境变量 PATH：在环境变量窗口中，找到“系统变量”下的 Path 变量，选中它，然后点击“编辑”。

添加 Wireshark 安装目录：点击“新建”并添加 Wireshark 的安装目录路径，例如 C:\Program Files\Wireshark。保存更改：确认添加路径后，点击“确定”关闭所有窗口。重启命令行或新开启命令行：为了让环境变量的更改生效，你可能需要关闭当前的命令行窗口，然后重新打开一个新的命令行窗口。验证是否生效：打开新的命令行窗口，尝试运行 tshark 命令，如果成功执行，说明环境变量设置生效。

tshark 是 Wireshark 的命令行版本，用于网络协议分析。以下是一些 tshark 的常用命令和示例用法：

基本捕获：

捕获网络接口上的数据包并显示在终端：

tshark -i eth0

指定捕获过滤器：

使用过滤器捕获特定协议或条件的数据包：

tshark -i eth0 -f "port 80"

保存捕获到的数据包：

将捕获到的数据包保存到文件（使用 -w 选项）：

tshark -i eth0 -w capture.pcap

读取保存的数据包文件：

从已保存的数据包文件中读取并显示：

tshark -r capture.pcap

显示数据包详细信息：

显示每个捕获到的数据包的详细信息：

tshark -i eth0 -V

显示捕获包数量：

仅显示捕获到的包数量：

tshark -i eth0 -c 10

使用显示过滤器：

通过 -Y 选项使用显示过滤器：

tshark -i eth0 -Y "http.request.method == GET"

禁用域名解析：

禁用域名解析以显示IP地址而不是主机名：

tshark -i eth0 -n

显示抓包时间：

显示抓包时间戳（相对或绝对）：

tshark -i eth0 -t ad

查看帮助文档：

查看 tshark 的帮助文档，获取更多选项和用法信息：

tshark --help

这些是一些 tshark 常用命令的示例。根据你的具体需求，可以调整和组合这些命令选项。使用 -h 或 --help 参数可以查看所有可用选项和帮助信息。