我想使用tcpdump捕获我的网络流量,如果捕获的数据包上升为10mb,我想制作另一个文件。我可以使用tcpdump安排这个。请善待我的帮助。谢谢。
答案 0 :(得分:10)
tcpdump -W 5 -C 10 -w capfile
以上命令的作用是创建一个5个文件的旋转缓冲区(-W 5),当前文件达到10,000,000字节时,tcpdump切换到另一个文件,大约10MB(-C以1,000,000字节为单位,所以-C 10 = 10,000,000字节)。文件的前缀为capfile(-w capfile),并且每个文件都附加一位数的整数。
因此,您的目录将有5个文件以恒定的捕获数据旋转:
capfile0
capfile1
capfile2
capfile3
capfile4
每个字节大约为10,000,000字节,但可能略大(取决于剩余的空间和最后收到的数据包的大小)。如果您想要更大的滚动数据,请将-W设置为更高的计数(-W 50)。
用户和组tcpdump可以访问写入存储这些文件的位置也非常重要。即使您以root身份运行。
答案 1 :(得分:4)
值得一提的是省略-W将禁用旋转,因此只会添加文件而不是旋转文件。当您调查网络问题并需要长时间捕获流量并希望所有文件都存在时,它很好。
% tcpdump -i eth0 -w file.pcap -G 3600 -C 100 -K -n &
答案 2 :(得分:0)
由于这是一个非常有用的线程,可能值得一提的是,运行此tcpdump命令的文件夹需要world write-able permissions or your user needs to be owner or part of the owning group of the directory,否则写入文件时会看到错误。