Captura completa de pacotes do Linux

Navegue suas respostas
2

Estou tentando criar uma solução completa de captura de pacotes em um servidor Ubuntu. Nossa largura de banda máxima é de < 60Mb / s e o servidor tem 10k discos rígidos.

Idealmente, gostaria de poder registrar tudo diretamente em um arquivo pcap que é rotacionado para um novo arquivo diariamente. Ter a capacidade de remover arquivos pcap que excederam um determinado período de tempo ou limite de espaço (ou seja, com mais de 30 dias ou excedendo 90% do espaço máximo de armazenamento) também seria incrivelmente vantajoso.

Eu procurei no OpenFPC , mas o desenvolvimento parece ter parado completamente. Nenhuma nova edição foi lançada em mais de dois anos; caso contrário, isso serviria bem para o projeto.

SANS tem um tutorial detalhado sobre como configurar o tcpdump para isso, mas o sistema não permite uma maneira de remover arquivos antigos.

Qual é a melhor solução para executar capturas completas de pacotes em um servidor linux para uma rede corporativa?

    
por Ryan Foley 11.12.2013 / 21:55

2 respostas

3

Você pode querer usar tshark para isso em vez de tcpdump. Tshark usa o mesmo formato pcap, mas tem opções muito melhores para registro contínuo.

Uma opção é o modo de buffer de toque tshark .

-b Cause TShark to run in "multiple files" mode. In "multiple files" mode, TShark will write to several capture files. When the first capture file fills up, TShark will switch writing to the next file and so on.

The created filenames are based on the filename given with the -w option, the number of the file and on the creation date and time, e.g. outfile_00001_20050604120117.pcap, outfile_00002_20050604120523.pcap, ...

    
por 11.12.2013 / 22:08
2

Acredito que tcpdump pode realizar isso usando as opções -W -C -G . Veja a página de manual para detalhes.

-W

Used in conjunction with the -C option, this will limit the number of files created to the specified number, and begin overwriting files from the beginning, thus creating a 'rotating' buffer. In addition, it will name the files with enough leading 0s to support the maximum number of files, allowing them to sort correctly. Used in conjunction with the -G option, this will limit the number of rotated dump files that get created, exiting with status 0 when reaching the limit. If used with -C as well, the behavior will result in cyclical files per timeslice.

    
por 11.12.2013 / 22:01

Tags

Como encontro mongodb estatísticas de gravação por banco de dados? Cluster de failover do Hyper-V do Windows Server 2012 + solução de armazenamento de HA ativo / ativo