Я использую tcpdump для захвата вращающегося сетевого трафика, и Молоха как хороший просмотрщик данных. Проблема в том, что tcpdump добавляет число в конец имени файла, в то время как Молох использует только файлы, заканчивающиеся на .pcap.

Есть ли способ настроить tcpdump для создания имен файлов, заканчивающихся на .pcap?

Использование строки формата даты не работает, потому что мне нужно повторять имена файлов (после каждых 20 файлов или около того).

sudo tcpdump -i eth0 -s 0 -W 4 -G 15 -C 1 -w ./dump.pcap

|источник

1 ответ1

0

Я полагаю, что tcpdumps "postrotate-command" может быть использован для этого. tcpdump [...] -z <command> будет вызывать команду после каждого захвата с текущим именем файла, поэтому я предполагаю, что вы сможете переименовать файлы с ним, если вы переименуете в небольшом сценарии оболочки:

-z postrotate-command Используется в сочетании с параметрами -C или -G, это заставит tcpdump запустить "postrotate-command file", где file - файл сохранения, закрываемый после каждого поворота. Например, указание -z gzip или -z bzip2 будет сжимать каждый файл сохранения с помощью gzip или bzip2.

|источник

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .