100mS마다 tcp 덤프를 회전하여 저장하고 싶습니다. 따라서 다음 옵션을 시도하고 있습니다.
tcpdump -i eth0 -G 0.1 -w '.pcap'
이것은 들어오는 모든 데이터를 파일로 덤프하고 100mS마다 회전하지 않습니다. 누군가 내가 어디로 잘못 가고 있는지 말해 줄 수 있습니까?
답변1
.pcap숨겨진 파일을 생성 하고 타임스탬프를 사용하여 생성할 파일의 이름을 지정하지 않기 때문에 .pcap매번 동일한 파일을 덮어씁니다.
허용되는 타임스탬프 형식은 다음을 통해 알려진 형식으로 지정할 수 있습니다."strftime(3)"
한 가지 예는 다음과 같습니다.
tcpdump -i eth0 -G 0.1 -w %m-%d-%H-%M-%S-%s.pcap
0.11초 미만의 옵션 으로 지정한 초는 캡처 -G된 모든 패킷이 해당 파일에 기록되는 것을 보장하지 않습니다. 밀리초 형식을 정의할 수 있는 방법이 없기 때문에 strftime(3)트래픽이 1초 동안 캡처되는 한 -w ...옵션 에 지정된 이전 일치 파일 이름을 계속 덮어씁니다 .
따라서 -G 0.1파일에 저장될 패킷을 놓치지 않으려면 최소 1초로 변경하세요.
중요한: 서식 지정/회전을 위해 선택한 타임스탬프에 대한 경고를 받으세요.; 예를 들어 위의 타임스탬프는 평생 동안 고유한 타임스탬프를 생성하므로 여유 디스크 공간이 확보될 때까지 파일이 생성됩니다.경로에서 tcpdump를 실행했습니다.명령.
%H-%M-%S.pcap하루(24시간) 동안 회전하고 새 날에 가장 오래된 파일을 덮어쓰기 시작하는 것과 같은 타임스탬프를 선택하면 이 타임스탬프와 함께 -G 1매 초마다 24시간 회전하는 것이 더 나은 선택이 될 것입니다.