Limita arquivos de captura do tcpdump por tempo e tamanho

1

Estou tendo alguns problemas ao obter o tcpdump para registrar todo o tráfego da Internet em uma interface com as seguintes limitações:

  • Eu gostaria de um novo arquivo pcap a cada hora com tag de hora e data no nome
  • Se o arquivo pcap nesta hora se tornar maior que 100M, crie um novo pcapfile com o samenametag como antes, mas com um sufixo -2 -3 -4 ...

Estou brincando com o seguinte comando:

tcpdump -pni eth0 -s65535 -G 3600 -C 100 -w '/var/log/tcpdump/trace_%Y-%m-%d_%H:%M:%S.pcap'

Como resultado, recebo um arquivo de log a cada hora, mas não parece dividir o arquivo se ele for maior que 100.

Alguém sabe onde estou bagunçando? Felicidades pela ajuda

    
por user2284355 11.09.2013 / 16:20

1 resposta

4

Seu comando deve funcionar, talvez haja um bug.

Use tshark (pacote wireshark) em seu lugar:

tshark -i eth0 -b duration:3600 -b filesize:102400 -s 65535 -w trace.pcap

The created filenames are based on the filename given with the -w option, the number of the file and on the creation date and time, e.g. outfile_00001_20050604120117.pcap, outfile_00002_20050604120523.pcap, ...

    
por 11.09.2013 / 17:55