Eu preciso capturar todo o tráfego HTTP de entrada / saída de uma máquina unix e, em seguida, executar um script em cada cabeçalho / corpo http.
Descobri que tcpdump captura todas as solicitações, mas as grandes acabam sendo divididas em vários quadros e não é fácil corrigi-las com um script que use libpcap .
tcpflow quase faz o que eu preciso, mas coloca todo o fluxo entre o host / cliente no mesmo arquivo, sem um bom token para separá-los, tornando impossível saber quando uma solicitação terminou e outro iniciado automaticamente.
Wireshark tem a opção "follow http", mas não consegui encontrar uma maneira de usar tshark para exportar um arquivo para cada fluxo.
Alguma sugestão?