Můžete použít tshark a uložit do pcap nebo jen exportovat pole, která vás zajímají.
Pro uložení do pcap (pokud chcete použít wireshark k pozdějšímu zobrazení):
tshark -i lo -Y "mysql.command==3" -w outputfile.pcap
tshark -i lo -R "mysql.command==3" -w outputfile.pcap
-R is deprecated for single pass filters, but it will depend on your version
-i is interface so replace that with whatever interface you are using (e.g -i eth0)
Pro uložení do textového souboru:
tshark -i lo -Y "mysql.command==3" -T fields -e mysql.query > output.txt
Můžete také použít filtry BPF s tcpdump (a filtry wireshark pre cap). Jsou složitější, ale méně zatěžují váš systém, pokud zachycujete velký provoz.
sudo tcpdump -i lo "dst port 3306 and tcp[(((tcp[12:1]&0xf0)>>2)+4):1]=0x03" -w outputfile.pcap
POZNÁMKA:
*Toto hledá 03 (podobné mysql.command==3) v rámci užitečného zatížení TCP.
**Vzhledem k tomu, že se jedná o dost volný filtr, přidal jsem také 3306, abych omezil pouze provoz určený pro ten port.***Filtr je založen na vašem snímku obrazovky. Nemohu to teď ověřit, takže pokud to nefunguje, dejte mi vědět.
Příklad výstupu: 