我有一个pcap文件,随着时间的推移在我可以进入的服务器上不断增长。我想做的是这样的事情:
ssh x@y tail -f -c +0 /path/to/pcapfile | wireshark -k -i
此命令返回一个错误,指出无法找到我指定的pcap文件(它存在)。
我也试过
wireshark -k -i - < (ssh x@y "tail -f -c +0 /path/to/pcapfile")
这些都不起作用。我想要做的是远程使用tail命令显示从服务器中不断增长的pcap文件实时流式传输的数据包。我该怎么做呢?提前谢谢。
答案 0 :(得分:0)
这是因为tail不知道数据包的起始位置和结束位置。它在本地工作的事实可能只是巧合:数据包的速度足够慢,tail可以通过管道将它们单独发送到wireshark。
另一方面,这不是其他人以前没有的问题。 Anton Berzin写了pcaptail,这是您可能正在寻找的工具:
it(pcaptail)的行为类似于tail -f,但在单个数据包的级别上
pcaptail是一个非常小的程序:少于300行代码,您只需要libpcap和libpcap标头来编译它。