tcpdumpを使ってみました。OSはLinux(ubuntu)です。
まずはキャプチャするインターフェイスを「nmcli device」で確認します。
無線LANインターフェースの「wlp1s0」をキャプチャ対象にします。
tcpdumpコマンドに出力ファイル名と対象インターフェイスを指定してキャプチャします。出力ファイルは「-w」オプション、対象インターフェイスは「-i」オプションで指定します。管理者権限がないとtcpdumpは実行できないので sudo で実行します。
$ sudo tcpdump -w cap01 -i wlp1s0
tcpdumpを実行するとキャプチャが始まります。止めるときは「Ctrl+C」を押下します。実行時のログです。
カレントディレクトリに「cap01」というファイルが出来ます。
キャプチャしたファイルの所有者は tcpdump になっていました。
「cap01」は、そのままWiresharkで読み込めます。