Bạn có thể sử dụng tshark và lưu vào pcap hoặc chỉ xuất các trường bạn quan tâm.
Để lưu vào pcap (nếu bạn muốn sử dụng wirehark để xem sau):
tshark -i lo -Y "mysql.command==3" -w outputfile.pcap
tshark -i lo -R "mysql.command==3" -w outputfile.pcap
-R is deprecated for single pass filters, but it will depend on your version
-i is interface so replace that with whatever interface you are using (e.g -i eth0)
Để lưu vào tệp văn bản:
tshark -i lo -Y "mysql.command==3" -T fields -e mysql.query > output.txt
Bạn cũng có thể sử dụng các bộ lọc BPF với tcpdump (và các bộ lọc nắp trước của wirehark). Chúng phức tạp hơn, nhưng ít đánh thuế vào hệ thống của bạn hơn nếu bạn đang nắm bắt được nhiều lưu lượng truy cập.
sudo tcpdump -i lo "dst port 3306 and tcp[(((tcp[12:1]&0xf0)>>2)+4):1]=0x03" -w outputfile.pcap
LƯU Ý:
* Điều này tìm kiếm 03 (tương tự mysql.command ==3) trong tải trọng TCP.
** Vì đây là một bộ lọc khá lỏng lẻo, tôi cũng đã thêm 3306 để hạn chế chỉ lưu lượng dành cho cổng đó. *** Bộ lọc dựa trên ảnh chụp màn hình của bạn. Tôi không thể xác thực nó ngay bây giờ, vì vậy hãy cho tôi biết nếu nó không hoạt động.
Đầu ra mẫu: 
