我需要保存镜像流量以供审计。审计服务器的流量将发送到其他服务器。我需要在专用接口上捕获该流量,将其保存到合理范围的 pcap 文件中(按日期/大小轮换),并(可能)上传和清除它们。
我可以将 systemd 单元中的一些 bash 和 tcpdump 粘合在一起,但是,也许有一个现成的解决方案?
答案1
由于您的要求不是很明确,建议可能不合适,但我确实建议您研究一下 ntop。最终它会为您的用例提供解决方案。对于数据包捕获,它使用 libpcap,它也用于 tcpdump。
守护进程替代 tcpdump 来保存镜像流量