当tcpdump文件大小达到10Mb时如何保存新文件

问题描述 投票:8回答:3

我想使用tcpdump捕获我的网络流量,如果捕获的数据包上升是10mb我想制作另一个文件。我可以用tcpdump安排这个。请善待我的帮助。谢谢。

tcpdump
3个回答
10
投票
tcpdump -W 5 -C 10 -w capfile

以上命令的作用是创建一个5个文件的旋转缓冲区(-W 5),当前文件达到10,000,000字节时,tcpdump切换到另一个文件,大约10MB(-C以1,000,000字节为单位,所以-C 10 = 10,000,000字节)。文件的前缀将是capfile(-w capfile),并且每个都将附加一位数的整数。

因此,您的目录将有5个文件与常量捕获数据一起旋转:

capfile0
capfile1
capfile2
capfile3
capfile4

每个将大约10,000,000字节,但可能会略大(取决于剩余的空间和最后收到的数据包的大小)。如果您想要更大的滚动数据,请将-W设置为更高的计数(-W 50)。

用户和组tcpdump可以访问写入存储这些文件的位置也非常重要。即使您以root身份运行。


4
投票

值得一提的是省略-W将禁用旋转,因此只需添加文件而不是旋转文件。当您调查网络问题并需要长时间捕获流量并希望所有文件都存在时,它很好。

% tcpdump -i eth0 -w file.pcap -G 3600 -C 100 -K -n &

0
投票

由于这是一个非常有用的线程,因此值得一提的是,运行此tcpdump命令的文件夹需要world write-able permissions or your user needs to be owner or part of the owning group of the directory,否则您将看到写入文件时出错。

© www.soinside.com 2019 - 2024. All rights reserved.