用户。
我希望在文件中捕获端口5060上的流量一周,而不是希望wireshark使用不同的文件名来旋转文件并开始下周捕获。
我对tshark,dumpcap知之甚少,但想知道,实现这一目标以及如何实现这一目标的更有效方法。由于文件将包含近一周的数据。
我们非常感谢任何建议。
感谢。
答案 0 :(得分:2)
您可以使用ringbuffer:
tshark -i 1 -f“port 5060”-a文件:n -b持续时间:604800 -w week.pcap
-a files:n
在n个文件后停止捕获
-b持续时间:604800
604800秒后切换到下一个文件
-w week.pcap
输出文件的名称如下所示:
week_00001_20150403194709.pcap
week_00002_20150403194739.pcap
week_00003_20150403194809.pcap
week_00004_20150403194839.pcap