碰到这种Wireshark图形界面能看到目标字段，但tshark命令却输出空结果的情况，通常是字段名称不匹配、过滤范围不对或者协议解析配置差异导致的，下面是具体的排查步骤：

1. 核对字段的真实内部名称
   Wireshark界面显示的字段名和tshark使用的内部字段名有时候会有差异。你可以在Wireshark里找到那个包含media.type的包，右键点击该字段，选择「Copy > Copy Field Name」，把复制到的字段名替换到tshark命令中。比如很多HTTP场景下，对应的实际字段是http.content_type，而不是media.type，这时候命令要改成：

tshark -r run.pcap -T fields -e http.content_type > sample.raw

2. 添加精准的协议过滤条件
   你的原始命令没有限定协议范围，tshark会扫描所有数据包，但media.type只会存在于特定的协议包（比如HTTP响应）中。加上过滤条件可以帮tshark聚焦目标包：

• 只过滤HTTP协议包：

tshark -r run.pcap -Y "http" -T fields -e media.type > sample.raw

• 更精准地过滤HTTP响应包：

tshark -r run.pcap -Y "http.response" -T fields -e media.type > sample.raw

如果是要找PDF类型的包，还可以直接过滤内容：

tshark -r run.pcap -Y "http.content_type contains 'application/pdf'" -T fields -e http.content_type > sample.raw

3. 检查Wireshark与tshark的解析配置一致性
   有时候Wireshark和tshark的协议解析开关可能不一样，比如是否启用了某个HTTP扩展解析。你可以在Wireshark中查看目标包的详细协议栈，确认media.type所属的协议层，然后在tshark中确保该协议的解析是开启状态。

4. 验证PCAP文件的完整性
   虽然Wireshark能打开PCAP，但部分损坏的包可能导致tshark无法正确解析字段。你可以先尝试用tshark -r run.pcap -c 10输出前10个包的信息，确认tshark能正常读取文件；或者在Wireshark中只导出包含PDF的那几个HTTP包，生成一个小的测试PCAP，再用tshark命令测试这个小文件。

5. 对齐Wireshark与tshark的版本
   不同版本的tshark在字段命名、协议解析逻辑上可能有差异。你可以用tshark -v查看当前版本，对比Wireshark的版本（在Wireshark的「帮助 > 关于」中查看），如果版本差距较大，建议升级tshark到和Wireshark一致的版本再尝试。

内容的提问来源于stack exchange，提问作者James Arems