Estou capturando o tráfego de um roteador microtik para o meu servidor linux e gravando em um arquivo grande. Eu estou procurando uma maneira de alimentar a partir do arquivo atual final para a frente, pois é um arquivo de vários GB e não posso ler desde o início, mas tshark (ou tcpdump) precisa ler o cabeçalho primeiro, caso contrário, ele termina com "Formato libpcap não reconhecido". Então tail -f não funciona. Alguma idéia?
Então, eu encontrei uma maneira rápida de obter algo semelhante ao que eu estava procurando, obtendo o cabeçalho pcap primeiro e depois o final do arquivo atual, usando algo como isto:
(dd if=<CAPTUREFILE> bs=1 count=24; tail -c 0 -f <CAPTUREFILE>) | tcpdump -nn -r -
O único problema é que usando esse método eu não consigo pegar alguns dos últimos pacotes, que é o que eu estava procurando.