Estou trabalhando em uma tarefa em que tenho a necessidade de dividir vários pcap, por exemplo, (snort.log.xxxxx) sob a pasta / var / log / snort com base no nome do host, nossa equipe de segurança está equipada com painel no kibana, e um administrador do kibana está apontando para o meu arquivo CentOS / var / log / snort / alert para exibir alertas. Agora minha tarefa é dividir o (snort.log.xxxxxx) no hostname sábio. Este é o meu desenho, por favor corrija-me:
Passa toda a variável armazenada em IPADDRESS para o loop for que executa o tcpdump dessa maneira
for file in snort.log.151505????
do
tcpdump -r $file -w /tmp/$file $hostname
done
Finalmente, nesse diretório (/ var / log / snort) temos um pequeno arquivo pcap dividido com hostname, de (arquivos snort.log.xxxxxxx pcap).
Estou fazendo a coisa certa, por favor, me guie.
E eu executei um pequeno comando de teste como este tcpdump -r snort.log.1513602997 -w test.2 host 1.1.1.1 . Ele cria um arquivo, mas nenhum dado é gravado, quando eu verifico esse arquivo pcap, o IPADRRESS está presente.