我的一些服务器收集了大量数据包数据。是否有一个实用程序(或补丁tcpdump(1))可以将 pcap 流记录到磁盘:
- 根据写入的数据大小进行旋转
- 修剪书面文件,只保留否最近的
- 不重复使用输出文件名
- 是自包含的(例如,通过+
进行外部修剪的旋转)crond(8)tmpwatch(8)
基本上我想要一个multilog或者svlogd了解 pcap 记录格式。
这-W 文件数通过回收旧文件名来选择tcpdump-4.0.0“修剪”,这违反了上面的第 3 条,迫使我查阅 mtimes 来确定新近度,并且无法保证日志文件不会被意外截断。
这-G选项strftime(2)在输出文件名中引入了 -specifier 支持,这将为我提供至少第二精度的文件名,但我不知道如何使修剪与此方案一起工作。
答案1
答案2
你可能想要格罗克. 它可以满足您的要求,甚至更多。