Wireshark 可以在一小时内轻松捕获数十万个捕获。我想知道是否可以配置 Wireshark,让 WireShark 在一定数量的帧后保存捕获,然后开始新的捕获,以确保所有内容都保持在一定比例内。
我认为最好的方法是在保存前几秒钟启动一个新实例,这会使数据稍微重叠,但这样你就不会丢失保存过程中传递的帧,而且据我所知没有其他选择。
答案1
您可以在捕获选项中指定使用多个文件。在这些选项中,您可以定义要捕获多少个文件以及每个文件的大小。因此,您可以指定 20 个文件,每个文件 20MB。当您进行捕获时,Wireshark 将对这 20 个文件进行循环,每次达到 20MB 时,它都会继续处理下一个文件。
一旦停止捕获,您可以获取连续的文件并按时间顺序合并它们(如果您愿意的话)。
根据您处理的数据量,您可能还需要稍微增加缓冲区大小,以确保在捕获时不会丢失任何数据包。