我在使用 tcpdump 記錄介面上的所有網路流量時遇到一些問題,但有以下限制:
- 我想要每小時一個新的 pcap 文件,名稱包含時間和日期標籤
- 如果這一小時內的 pcap 檔案變得大於 100M,則建立一個新的 pcapfile,其名稱標籤與之前相同,但帶有 -2 -3 -4 ... 後綴。
我正在使用以下命令:
tcpdump -pni eth0 -s65535 -G 3600 -C 100 -w '/var/log/tcpdump/trace_%Y-%m-%d_%H:%M:%S.pcap'
因此,我確實每小時都會收到一個日誌文件,但如果它大於 100,它似乎不會拆分該文件。
有誰知道我哪裡搞砸了?為幫助乾杯
答案1
你的命令應該可以工作,也許有一個錯誤。
使用 tshark(wireshark 套件)代替:
tshark -i eth0 -b duration:3600 -b filesize:102400 -s 65535 -w trace.pcap
建立的檔案名稱是基於 -w 選項給出的檔案名稱、檔案編號以及建立日期和時間,例如 outfile_00001_20050604120117.pcap、outfile_00002_20050604120523.pcap,...