다음 제한 사항이 있는 인터페이스의 모든 인터넷 트래픽을 tcpdump에 기록하는 데 몇 가지 문제가 있습니다.
- 이름에 시간과 날짜 태그가 포함된 새 pcap 파일을 매 시간마다 만들고 싶습니다.
- 이 시간의 pcap 파일이 100M보다 커지면 이전과 동일한 이름 태그를 사용하고 -2 -3 -4 ... 접미사를 사용하여 새 pcap 파일을 만듭니다.
나는 다음 명령을 가지고 놀고 있습니다.
tcpdump -pni eth0 -s65535 -G 3600 -C 100 -w '/var/log/tcpdump/trace_%Y-%m-%d_%H:%M:%S.pcap'
결과적으로 매 시간마다 로그 파일을 가져오지만 파일이 100보다 커지면 파일을 분할하지 않는 것 같습니다.
내가 어디를 엉망으로 만들고 있는지 아는 사람 있나요? 도움을 주셔서 감사합니다
답변1
명령이 작동할 것입니다. 버그가 있을 수 있습니다.
대신 tshark(wireshark 패키지)를 사용하세요.
tshark -i eth0 -b duration:3600 -b filesize:102400 -s 65535 -w trace.pcap
생성된 파일 이름은 -w 옵션으로 지정된 파일 이름, 파일 수, 생성 날짜 및 시간을 기반으로 합니다(예: outfile_00001_20050604120117.pcap, outfile_00002_20050604120523.pcap, ...).