Question

我使用Moloch作为NDR并将其保存在10G pcaps中，不用说还有很多。当我尝试通过ngrep从pcaps解析某些数据时，它只允许我一次解析一个。如果我使用带有通配符的简单ngrep，我会得到pcap compile：语法错误。

ngrep -I /data/moloch/raw/*.pcap -W none 'host 192.168.0.101' -O /data/moloch/parsed.pcap

如果我使用

for file in ls -1 /data/moloch/raw/*.pcap' do nice -n 10 ngrep -O /data/moloch/parsed.pcap -W none 'host 192.168.0.101' done

它引发了预期的＆＃34;做＆＃34;命令。对不起，我确定这是一个简单的问题，但我刚刚开始使用linux，任何帮助我都会非常感激。

Answer 1

解决了问题！

cd /data/moloch/raw
for file in `ls -1 *.pcap`
do
   nice -n 10 ngrep -I $file -q ip host 192.168.0.101 -O /data/moloch/save/$file
done

由于你无法将输出管道传输到pcap格式，因此必须让它为每个读取文件写一个pcap文件，我必须以这种格式使用它。所以没有附加现有文件。当它完全说完了，我将删除所有没有数据的pcaps，然后使用mergecap并创建1个pcap。