最常用的两个:

HTTP:
tshark -f 'tcp' -nn -i any -Y "http.request or http.response" -T fields -e "ip.src" -e "http.host" -e "http.request.method" -e "http.request.uri" -e http.response_for.uri -e http.response.code

MYSQL:
tshark -i eth0 -f "port 3306" -n -d tcp.port==3306,mysql  -Y mysql.command==3 -T fields -e mysql.query

如果你想同时捕获MySQL的错误:

tshark -f "port 3306" -n -d tcp.port==3306,mysql  -T fields -e ip.src -e ip.dst -e mysql.query -e mysql.error_code -e mysql.error.message|tee sql-error.txt

捕获1w个报文,按ip统计各种指标

tshark -c 100000 -z endpoints,ip -q

更多的-z功能可以参考 tshark -z help

捕获报文里含有"sip:3gpp"字符串的报文,并解码,打印出sip协议的header和body,status-code等内容

tshark -f udp -Y 'frame contains "sip:3gpp"' -T fields -e ip.src -e ip.dst -e sip.Status-Code -e sip.msg_hdr -e sip.msg_body

捕获并显示sip status code不是200的报文:

tshark -f 'port 6060' -c 100000 -Y 'sip.Status-Code >= 400 ' -T fields -e ip.src -e ip.dst -e sip.Status-Code -e sip.msg_hdr -e sip.msg_body