LATER... ei_kerberos_kdc_session_key ...
[wireshark-sm.git] / doc / man_pages / dissection-options.adoc
blobf46a06af1423bfb0732eed3bfd5548b00acdb903
1 == DISSECTION OPTIONS
3 // tag::decode_as[]
4 [#decode_as]
5 -d  <layer type>==<selector>,<decode-as protocol>::
7 --
8 Like Wireshark's *Decode As...* feature, this lets you specify how a
9 layer type should be dissected.  If the layer type in question (for example,
10 *tcp.port* or *udp.port* for a TCP or UDP port number) has the specified
11 selector value, packets should be dissected as the specified protocol.
13 .Decode As Port
14 [example]
15 *-d tcp.port==8888,http* will decode any traffic running over
16 TCP port 8888 as HTTP.
18 // tag::tshark[]
19 .Decode As Port Range
20 [example]
21 *-d tcp.port==8888-8890,http* will decode any traffic running
22 over TCP ports 8888, 8889 or 8890 as HTTP.
24 .Decode As Port Range via Length
25 [example]
26 *-d tcp.port==8888:3,http* will decode any traffic running over
27 the three TCP ports 8888, 8889 or 8890 as HTTP.
29 Using an invalid selector or protocol will print out a list of valid selectors
30 and protocol names, respectively.
32 .Decode As List of Selectors
33 [example]
34 *-d .* is a quick way to get a list of valid selectors.
36 .Decode As List of Values for a Selector
37 [example]
38 *-d ethertype==0x0800,.* is a quick way to get a list of protocols
39 that can be selected with an ethertype.
40 // end::tshark[]
41 // tag::not_tshark[]
42 See the xref:tshark.html#decode_as[tshark](1) manual page for more examples.
43 // end::not_tshark[]
45 // end::decode_as[]
47 --disable-all-protocols::
48 Disable dissection of all protocols.
50 --disable-protocol <proto_name>[,<proto_name>,...]::
51 Disable dissection of proto_name.
52 Use a proto_name of *ALL* to override
53 your chosen profile's default enabled protocol list and temporarily
54 disable all protocols.
56 --disable-heuristic <short_name>::
57 Disable dissection of heuristic protocol.
59 --enable-protocol <proto_name>[,<proto_name>,...]::
62 Enable dissection of proto_name.
63 Use a proto_name of *ALL* to override
64 your chosen profile's default disabled protocol list and temporarily
65 enable all protocols which are enabled by default.
67 If a protocol is implicated in both *--disable-protocol*
68 and *--enable-protocol*, the protocol is enabled. This allows you to
69 temporarily disable all protocols but a list of exceptions.
70 Example: *--disable-protocol ALL --enable-protocol eth,ip*
73 --enable-heuristic <short_name>::
74 Enable dissection of heuristic protocol.
76 -K  <keytab>::
79 Load kerberos crypto keys from the specified keytab file.
80 This option can be used multiple times to load keys from several files.
82 Example: *-K krb5.keytab*
85 -n::
86 Disable network object name resolution (such as hostname, TCP and UDP port
87 names); the *-N* option might override this one.
89 -N  <name resolving flags>::
92 Turn on name resolving only for particular types of addresses and port
93 numbers, with name resolving for other types of addresses and port
94 numbers turned off.  This option (along with *-n*) can be specified
95 multiple times; the last value given overrides earlier ones. This option
96 and *-n* override the options from the preferences, including preferences
97 set via the *-o* option. If both *-N* and *-n* options are not present,
98 the values from the preferences are used, which default to *-N dmN*.
100 The argument is a string that may contain the letters:
102 *d* to enable resolution from captured DNS packets
104 *g* to enable IP address geolocation information lookup from configured
105 MaxMind databases
107 *m* to enable MAC address resolution
109 *n* to enable network address resolution
111 *N* to enable using external resolvers (e.g., DNS) for network address
112 resolution; no effect without *n* also enabled.
114 *s* to enable address resolution using SNI information found in captured
115 handshake packets
117 *t* to enable transport-layer port number resolution
119 *v* to enable VLAN IDs to names resolution
121 // tag::tshark[]
122 [CAUTION]
123 In tshark single-pass mode, external resolution and geolocation lookup is
124 performed synchronously. For live captures, which are always in single-pass
125 mode, this makes it more difficult for dissection to keep up with a busy
126 network, possibly leading to dropped packets.
127 // end::tshark[]
130 --only-protocols <protocols>::
131 Only enable dissection of these protocols, comma separated. Disable everything else.
133 -t  (a|ad|adoy|d|dd|e|r|u|ud|udoy)[.[N]]|.[N]::
136 Set the format of the packet timestamp displayed in the default time
137 column.  The format can be one of:
139 *a* absolute: The absolute time, as local time in your time zone,
140 is the actual time the packet was captured, with no date displayed
142 *ad* absolute with date: The absolute date, displayed as YYYY-MM-DD,
143 and time, as local time in your time zone, is the actual time and date
144 the packet was captured
146 *adoy* absolute with date using day of year: The absolute date,
147 displayed as YYYY/DOY, and time, as local time in your time zone,
148 is the actual time and date the packet was captured
150 *d* delta: The delta time is the time since the previous packet was
151 captured
153 *dd* delta_displayed: The delta_displayed time is the time since the
154 previous displayed packet was captured
156 *e* epoch: The time in seconds since epoch (Jan 1, 1970 00:00:00)
158 *r* relative: The relative time is the time elapsed between the first packet
159 and the current packet
161 *u* UTC: The absolute time, as UTC, is the actual time the packet was
162 captured, with no date displayed
164 *ud* UTC with date: The absolute date, displayed as YYYY-MM-DD,
165 and time, as UTC, is the actual time and date the packet was captured
167 *udoy* UTC with date using day of year: The absolute date, displayed
168 as YYYY/DOY, and time, as UTC, is the actual time and date the packet
169 was captured
171 *.[N]* Set the precision: N is the number of decimals (0 through 9).
172 If using "." without N, automatically determine precision from trace.
174 The default format is relative with precision based on capture format.
177 -u <s|hms>::
180 Specifies how packet timestamp formats in *-t* which are relative times
181 (i.e.  relative, delta, and delta_displayed) are displayed.  Valid choices are:
183 *s* for seconds
185 *hms* for hours, minutes, and seconds
187 The default format is seconds.