Necesito guardar el tráfico reflejado para fines de auditoría. El tráfico del servidor auditado se envía a otro servidor. Necesito capturar ese tráfico en una interfaz dedicada, guardarlo en archivos pcap de alcance razonable (rotación por fecha/tamaño) y (tal vez) cargarlos y eliminarlos.
Puedo unir algo de bash y tcpdump dentro de la unidad systemd, pero tal vez haya una solución preparada para eso.
Respuesta1
Como sus requisitos no están muy claros, es posible que la sugerencia no encaje, pero recomiendo consultar ntop. Con el tiempo, proporciona una solución para su caso de uso. Para la captura de paquetes utiliza libpcap, que también se utiliza dentro de tcpdump.