我使用 tcpdump 进行轮流网络流量捕获,并使用 Moloch 查看数据。问题是 tcpdump 会在结尾的文件名,而 Moloch 只使用以 .pcap 结尾的文件。
有没有办法设置 tcpdump 来创建以 .pcap 结尾的文件名?
使用日期格式字符串不起作用,因为我需要重复文件名(每 20 个文件左右)。
sudo tcpdump -i eth0 -s 0 -W 4 -G 15 -C 1 -w ./dump.pcap
答案1
我认为 tcpdumps“postrotate-command”可以用于此。
tcpdump [...] -z <command>将在每次捕获后使用当前文件名调用该命令,因此我推测您应该能够使用它重命名文件,如果您在一个小的 shell 脚本中执行重命名:
-z postrotate-command 与 -C 或 -G 选项一起使用,这将使 tcpdump 运行“postrotate-command file”,其中 file 是每次旋转后关闭的保存文件。例如,指定 -z gzip 或 -z bzip2 将使用 gzip 或 bzip2 压缩每个保存文件。