想要镜像一个networking防火墙接口,将该接口连接到Linux服务器,并让Linux服务器不断运行一个tcpdump并将输出存储在文件中。
具体来说,我的要求是一次又一次地保存pcap文件,因为文件的大小达到一个特定的数字。
例如:
Juniper防火墙端口2镜像端口1上的所有通信。端口2连接到Linux服务器上的eth0。 Linux服务器有一个tcpdump进程在eth0上不断运行。 Linux服务器configuration为将stream量保存到名为“tcpdump.pcap”的文件中,但是当pcap文件超过特定大小时,则会压缩并重命名为“tcpdump.pcap.0.gz”。 当第二个文件超过特定大小时,它将被重命名为“tcpdump.pcap.1.gz”等。
这将允许我查看过去X时间内的networkingstream量(现在,我希望在过去72小时内具有可见性)。
这里的问题是,我不知道如何完成上述。 具体来说,如何让tcpdump连续运行,并自动保存pcaps,并按时间顺序自动压缩和重命名?
我们来分析一下这个问题:
tcpdump以pcap格式保存转储 :您可以使用-w选项。 一如既往, 仔细阅读手册页 tcpdump :你可以使用screen来运行tcpdump ,而不是按照你的意愿分离/附加; 该过程将继续运行,直到您停止; -C选项让tcpdump旋转pcap文件,或者,可以configuration并使用logrotate在达到特定大小时自动重命名/旋转日志文件