Alguns dos meus servidores coletam muitos dados de pacote. Existe um utilitário (ou patch para tcpdump(1) ) para registrar um fluxo pcap para o disco que:
crond(8) + tmpwatch(8) ) Basicamente, quero um multilog ou svlogd que aumenta o formato do registro pcap.
A opção -W filecount de tcpdump-4.0.0 "ameixas" através da reciclagem de nomes de arquivos antigos, o que viola o # 3 acima, forçando-me a consultar mtimes para determinar recência e sem garantias contra truncamento surpresa do arquivo de log.
A opção -G introduz o suporte strftime(2) -specifier em nomes de arquivos de saída, o que me daria pelo menos a segunda precisão em nomes de arquivos, mas não consigo descobrir como podar trabalhar com este esquema.
Dumpcap deve fazer o que você precisa.
dumpcap -w /tmp/output.pcap -b filesize:20000 -b files:10
alternará no máximo 10 arquivos com tamanho máximo de 20 MB. Cada arquivo tem um nome exclusivo, por ex. output_00018_20100315122857.pcap.
ODaemonlogger também deve funcionar, mas eu não o usei
Você pode querer Grok . Faz o que você quer e depois alguns.