那我就來解答一下吧跟著做就行了：

tshark使用-f來指定捕捉包過濾規則，規則與tcpdump一樣，可以通過命令man pcap-filter來查得tshark使用-R來過濾已捕捉到的包，與界面板wireshark的左上角Filter一致舉個栗子抓Mysql包命令如下：tshark -s 512 -i eth0 -n -f 'tcp dst port 3306' -R 'mysql.query' -T fields -e mysql.querytshark -s 512 -i em1 -n -f 'tcp dst port 3306' -R 'mysql.query' -T fields -e mysql.query過濾HTTP請求：# tshark 'tcp port 80 and (((ip[2:2] - ((ip[0]&0xf)<<2)) - ((tcp[12]&0xf0)>>2)) != 0)' -R 'http.request.method == "GET" || http.request.method == "HEAD"'