У меня возникли проблемы с tcpdump для регистрации всего интернет-трафика на интерфейсе со следующими ограничениями:
- Мне нужен новый pcap-файл каждый час с меткой времени и даты в имени.
- Если в течение этого часа размер pcap-файла превысит 100 МБ, создайте новый pcap-файл с тем же именем, что и раньше, но с суффиксом -2 -3 -4 ....
Я экспериментирую со следующей командой:
tcpdump -pni eth0 -s65535 -G 3600 -C 100 -w '/var/log/tcpdump/trace_%Y-%m-%d_%H:%M:%S.pcap'
В результате я получаю файл журнала каждый час, но, похоже, он не разбивается, если его размер превышает 100.
Кто-нибудь знает, где я накосячил? Спасибо за помощь
решение1
Ваша команда должна работать, возможно, это ошибка.
Вместо этого используйте tshark (пакет Wireshark):
tshark -i eth0 -b duration:3600 -b filesize:102400 -s 65535 -w trace.pcap
Создаваемые имена файлов основаны на имени файла, указанном с помощью опции -w, номере файла, а также дате и времени создания, например, outfile_00001_20050604120117.pcap, outfile_00002_20050604120523.pcap, ...