这最终会导致问题吗?还是一直运行都没问题?是否应该每隔一段时间保存一次日志?如果是,什么时候保存?
答案1
一般来说是没问题的,特别是当你在镜像/跨接端口上运行时 - 这实际上只是一个负载/磁盘空间问题。
至于何时应该保存它们,老实说,这取决于您自己的使用情况 - 不确定是否有人可以为您回答。
顺便说一句 - 编写 WireShark 的 Gerald Combs 是这里的一名用户,当出现此类问题时,他经常会出现 - 相当荣幸啊!
答案2
真正的问题是:这样做的目的是什么?
如果你想要一个可以持续记录和监控网络流量并在需要时附加跟踪的东西,请考虑一个没有如此巨大开销的解决方案,例如转储盖(包含在 wireshark 发行版中。)
就我个人而言,我使用网络安全工具包 (NST),这是一个专门的发行版,在一个易于部署的 DVD 或 VMware 映像中包含大量分析和测量软件,并支持完全透明的 SPAN 捕获所有流量。
答案3
wireshark 在幕后使用 dumpcap。因此,您可以在 Windows 命令行中使用 dumpcap 来收集您的流量。您可以执行以下操作:
"c:\Program Files\Wireshark\dumpcap" -i 2 -w \temp\output.pcap -b filesize:102400 -b files:5 -f "host 1.1.1.1"
- -i 2 – 是 eth id(你可以用 dumpcap -D 找出你的号码)
- -w \temp\output.pcap 是输出文件(确保 c:\temp\ 文件夹存在,否则会出错)
- -b filesize:102400——表示你想要的文件大小)
- -b files:5 —— 是要保留的文件数,最多保留 5 个文件
- -f “主机 1.1.1.1”——wireshark 过滤器可以放在那里
其他旗帜可在此处找到 http://www.wireshark.org/docs/wsug_html_chunked/AppToolsdumpcap.html
答案4
除了 Wireshark,还可以考虑使用n2磁盘,来自那些写出优秀ntop。
引用他们的页面:
使用 n2disk,您可以从实时网络接口以多千兆位速率(在足够的硬件上高于 10 千兆位/秒)捕获全尺寸网络数据包,并将它们写入文件中而不会丢失任何数据包。 n2disk 的设计目的是将文件长时间写入磁盘。
使用脱氧核糖核酸(直接网卡访问),你可以捕获线速 10Gb/s到磁盘(假设合适的硬件)。