Tengo algunos problemas para que tcpdump registre todo el tráfico de Internet en una interfaz con las siguientes limitaciones:
- Me gustaría un nuevo archivo pcap cada hora con la etiqueta de fecha y hora en el nombre
- Si el archivo pcap en esta hora supera los 100 M, cree un nuevo archivo pcap con la misma etiqueta de nombre que antes pero con un sufijo -2 -3 -4 ....
Estoy jugando con el siguiente comando:
tcpdump -pni eth0 -s65535 -G 3600 -C 100 -w '/var/log/tcpdump/trace_%Y-%m-%d_%H:%M:%S.pcap'
Como resultado, obtengo un archivo de registro cada hora, pero no parece dividir el archivo si supera los 100.
¿Alguien sabe dónde me estoy equivocando? saludos por la ayuda
Respuesta1
Tu comando debería funcionar, tal vez haya un error.
Utilice tshark (paquete wireshark) en su lugar:
tshark -i eth0 -b duration:3600 -b filesize:102400 -s 65535 -w trace.pcap
Los nombres de archivos creados se basan en el nombre de archivo proporcionado con la opción -w, el número del archivo y la fecha y hora de creación, por ejemplo, outfile_00001_20050604120117.pcap, outfile_00002_20050604120523.pcap, ...