我的一些服务器收集了很多分组数据。 是否有一个实用程序(或补丁tcpdump(1) )logging一个pcapstream到磁盘:
crond(8) + tmpwatch(8)进行外部修剪的旋转) 基本上我想要一个多logging或svlogd唠叨pcaplogging格式。
tcpdump-4.0.0的-W filecount选项通过回收旧文件名来“修剪”,这违反了上述#3,迫使我咨询mtimes来确定新近性,并且不提供对日志文件的突然截断的保证。
-G选项在输出文件名中引入了strftime(2) –specifier支持,这会给我至less第二个精度的文件名,但我不知道如何得到修剪使用这个scheme。
Dumpcap应该做你需要的。
dumpcap -w /tmp/output.pcap -b filesize:20000 -b files:10
将最多旋转10个文件,最大大小为20 MB。 每个文件都有唯一的名称,例如output_00018_20100315122857.pcap。
Daemonlogger应该可以工作,但是我没有使用它。
你可能想要Grok 。 它做你想要的,然后一些。