这是否会最终导致问题,或始终保持运行状态? 是不是应该把日志保存一次又一次,如果是的话?
一般来说,没关系,特别是如果你在镜像/跨接端口上运行它 – 这实际上只是一个负载/磁盘空间的问题。
至于什么时候应该被保存下来,那么你的用例是诚实的 – 不确定任何人都可以为你解答。
顺便说一句 – 编写WireShark的Gerald Combs是这里的用户,当这样的问题发生时,经常会popup – 颇有特权!
真正的问题是:这个的目的是什么?
如果你想要一些可以连续logging和监视networkingstream量的东西,并且在需要的时候附加到跟踪上,可以考虑一个没有如此大量开销的解决scheme,比如dumpcap (包含在wireshark发行版中)。
就我个人而言,我使用Network Security Toolkit(NST) ,这是一个专门的发行版,其中包含大量的分析和测量软件,在一个易于部署的DVD或VMware映像中,并支持全透明的SPAN捕获所有stream量。
wireshark在封面下使用dumpcap。 所以,据说你可以在Windows命令行使用dumpcap来收集你的stream量。 你可以做这样的事情:
"c:\Program Files\Wireshark\dumpcap" -i 2 -w \temp\output.pcap -b filesize:102400 -b files:5 -f "host 1.1.1.1" 其他标志可以在这里findhttp://www.wireshark.org/docs/wsug_html_chunked/AppToolsdumpcap.html
假设你在窗户上…
如果您只是想捕获以供以后分析,请使用-C file_size选项查看使用windump (使用winpcap分发)。 这会导致它closures当前的输出文件,并在达到file_size参数时打开一个新文件。 您也可以在文件名旋转时提供选项。
在Linux上,你可以使用与tcpdump相同的选项。
然后你可以在Wireshark中加载一个100MB的文件,而不是整个捕获。
而不是Wireshark,可以考虑使用n2disk ,来自编写优秀ntop的人 。
引用他们的页面:
使用n2disk,您可以从现有networking接口以数千兆的速率(在足够硬件上超过10 GB / s)捕获全尺寸networking数据包,并将其写入文件,而不会丢失数据包。 n2disk已被devise为将文件长时间写入磁盘。
使用DNA (Direct Nic Access),您可以捕捉线速10Gb / s到磁盘(给出正确的硬件 )。
如果不放弃旧条目,则可能导致其他软件内存不足。