我在使用 tcpdump 记录接口上的所有互联网流量时遇到了一些问题,存在以下限制:
- 我想要每小时生成一个新的 pcap 文件,文件名称中包含时间和日期标签
- 如果这一小时内的 pcap 文件大于 100M,则创建一个具有与之前相同的名称标签但带有 -2 -3 -4 ... 后缀的新 pcap 文件。
我正在使用以下命令:
tcpdump -pni eth0 -s65535 -G 3600 -C 100 -w'/var/log/tcpdump/trace_%Y-%m-%d_%H:%M:%S.pcap'
因此,我确实每小时都会收到一个日志文件,但如果文件大小超过 100,它似乎不会拆分文件。
有人知道我哪里搞砸了吗?谢谢帮助
答案1
你的命令应该可以工作,也许有一个错误。
改用 tshark (wireshark 包):
tshark -i eth0 -b duration:3600 -b filesize:102400 -s 65535 -w trace.pcap
创建的文件名基于 -w 选项给出的文件名、文件编号以及创建日期和时间,例如 outfile_00001_20050604120117.pcap、outfile_00002_20050604120523.pcap、...