Estou usando o WireShark para ficar de olho no tráfego em duas portas 10G, em tempo real. O problema é que há muito tráfego vindo pelas duas portas que o WireShark trava em um minuto.
Existe uma maneira de o WireShark armazenar apenas um pequeno número de pacotes (digamos os 10 000 mais recentes) e descartar qualquer coisa previamente capturada?
Você pode usar arquivos de log rotativos para obter algo semelhante.
Usar o wireshark para manter uma visualização "ao vivo" não é recomendado: Eu prefiro usar o tcpdump escrevendo em arquivos de log rotativos / "dimensionados" (veja opções de log do tcpdump) e wireshark -r para visualizar os resultados.
Tags wireshark