आप tshark का उपयोग कर सकते हैं और एक pcap में सहेज सकते हैं या केवल उन फ़ील्ड को निर्यात कर सकते हैं जिनमें आप रुचि रखते हैं।
एक पॅक में सहेजने के लिए (यदि आप बाद में देखने के लिए वायरशार्क का उपयोग करना चाहते हैं):
tshark -i lo -Y "mysql.command==3" -w outputfile.pcap
tshark -i lo -R "mysql.command==3" -w outputfile.pcap
-R is deprecated for single pass filters, but it will depend on your version
-i is interface so replace that with whatever interface you are using (e.g -i eth0)
टेक्स्ट फ़ाइल में सहेजने के लिए:
tshark -i lo -Y "mysql.command==3" -T fields -e mysql.query > output.txt
आप टीसीपीडम्प (और वायरशार्क प्री कैप फिल्टर) के साथ बीपीएफ फिल्टर का भी उपयोग कर सकते हैं। यदि आप बहुत अधिक ट्रैफ़िक कैप्चर कर रहे हैं तो वे अधिक जटिल हैं, लेकिन आपके सिस्टम पर कम कर लगाते हैं।
sudo tcpdump -i lo "dst port 3306 and tcp[(((tcp[12:1]&0xf0)>>2)+4):1]=0x03" -w outputfile.pcap
नोट:
*यह टीसीपी पेलोड के भीतर 03 (इसी तरह के mysql.command==3) के लिए दिखता है।
**चूंकि यह एक बहुत ही ढीला फ़िल्टर है, इसलिए मैंने केवल इसके लिए नियत ट्रैफ़िक तक सीमित करने के लिए 3306 जोड़ा है। वह पोर्ट.***फ़िल्टर आपके स्क्रीनशॉट पर आधारित है. मैं इसे अभी मान्य नहीं कर सकता, इसलिए मुझे बताएं कि क्या यह काम नहीं करता है।
उदाहरण आउटपुट: 
