Ich habe einige Probleme damit, tcpdump dazu zu bringen, den gesamten Internetverkehr auf einer Schnittstelle mit den folgenden Einschränkungen zu protokollieren:
- Ich hätte gerne jede Stunde eine neue PCAP-Datei mit Zeit- und Datums-Tag im Namen
- Wenn die PCAP-Datei in dieser Stunde größer als 100 MB wird, erstellen Sie eine neue PCAP-Datei mit demselben Namensschild wie zuvor, jedoch mit dem Suffix -2 -3 -4 ….
Ich spiele mit dem folgenden Befehl herum:
tcpdump -pni eth0 -s65535 -G 3600 -C 100 -w '/var/log/tcpdump/trace_%Y-%m-%d_%H:%M:%S.pcap'
Als Ergebnis erhalte ich zwar jede Stunde eine Protokolldatei, die Datei wird jedoch anscheinend nicht aufgeteilt, wenn sie größer als 100 ist.
Weiß jemand, wo ich es vermasselt habe? Danke für die Hilfe
Antwort1
Ihr Befehl sollte funktionieren, vielleicht liegt ein Fehler vor.
Verwenden Sie stattdessen tshark (Wireshark-Paket):
tshark -i eth0 -b duration:3600 -b filesize:102400 -s 65535 -w trace.pcap
Die erstellten Dateinamen basieren auf dem mit der Option -w angegebenen Dateinamen, der Dateinummer sowie dem Erstellungsdatum und der Erstellungszeit, z. B. outfile_00001_20050604120117.pcap, outfile_00002_20050604120523.pcap, …