Capture >tshark -i 3 -w test.pcap >tshark -i 3 -w D:\PCAP-DUMP\test.pcap Capture og viser på skærmen og til fil. >tshark -i 1 -P -w D:\test.pcap viser src og dst IP'er >tshark -T fields -e ip.src -e ip.dst -r test.pcap Viser alle image filer via tshark >tshark -R "http.response and http.content_type contains image" -z "proto,colinfo,http.content_length,http.content_length" -z "proto,colinfo,http.content_type,http.content_type" -r D:\PCAP-DUMP\test.pcap Sammeme piper til txt fil >tshark -R "http.response and http.content_type contains image" -z "proto,colinfo,http.content_length,http.content_length" -z "proto,colinfo,http.content_type,http.content_type" -r D:\PCAP-DUMP\test.pcap > c:\out.txt Søger efter exe >tshark -R "tcp contains exe" -r D:\PCAP-DUMP\test2.pcap > D:\out.txt >tshark -i 3 -Y "ip.addr == 192.168.10.1" -e http -w D:\PCAP-DUMP\test2.pcap Sort all user agents ud med src ip til en txt fil >tshark -r D:\all-trafic.pcap -Tfields -e ip.src -e http.user_agent -R "http.user_agent" > D:\out.txt sorter alle htttp hosts ud med src ip til en txt fil >tshark -r D:\all-trafic.pcap -Tfields -e ip.src -e http.host -R "http.host" > D:\out.txt Søger efter domæne nave i DNS opslag (query) >tshark -r D:\all-trafic.pcap -Tfields -e ip.src -e dns.qry.name -R "dns.qry.name" > D:\dns-out.txt obs! -R er et read filter og kan ikke sammen med capture Søg igennem store pcap filer efter trafik til en bestemt IP adresse og send dette til output.pcap >tshark -r d:\PCAP-DUMP\1.pcap -w d:\PCAP-DUMP\output.pcap -Y "ip.addr == 192.168.1.1" Søgning i pcap filer imellem 2 tidspunkter og send dette til output.pcap tshark -r d:\PCAP-DUMP\input.pcap -w d:\PCAP-DUMP\output.cap -Y "(frame.time >= ""Dec 28, 2014 19:50:00"") && (frame.time <= ""Dec 28, 2014 19:55:00"")" Søgning imelle 2 tidspunkter efter en bestemt ip og send dette til output.pcap tshark -r d:\PCAP-DUMP\input.pcap -w d:\PCAP-DUMP\output.pcap -Y "(frame.time >= ""Dec 30, 2014 22:00:00"") && (frame.time <= ""Dec 30, 2014 22:30:00"") && ip.addr == 192.168.1.2"