Estou tendo alguns problemas para fazer com que o tcpdump registre todo o tráfego da Internet em uma interface com as seguintes limitações:
- Gostaria de um novo arquivo pcap a cada hora com tag de hora e data no nome
- Se o arquivo pcap nesta hora for maior que 100M, crie um novo arquivo pcap com o mesmo nome de antes, mas com um sufixo -2 -3 -4 ....
Estou brincando com o seguinte comando:
tcpdump -pni eth0 -s65535 -G 3600 -C 100 -w '/var/log/tcpdump/trace_%Y-%m-%d_%H:%M:%S.pcap'
Como resultado, recebo um arquivo de log a cada hora, mas ele não parece dividir o arquivo se ele for maior que 100.
Alguém sabe onde estou bagunçando? Parabéns pela ajuda
Responder1
Seu comando deve funcionar, talvez haja um bug.
Use tshark (pacote wireshark):
tshark -i eth0 -b duration:3600 -b filesize:102400 -s 65535 -w trace.pcap
Os nomes dos arquivos criados são baseados no nome do arquivo fornecido com a opção -w, no número do arquivo e na data e hora de criação, por exemplo, outfile_00001_20050604120117.pcap, outfile_00002_20050604120523.pcap, ...