通过WireShark Box运行所有stream量？

这是其中的一种情况，你将不得不提供一些额外的细节，才能真正给你一个很好的答案。 在你需要弄清楚的问题中：

• 你有什么可用的预算呢？
• 什么是您的捕获保留要求？
• 你正在捕捉的stream量是多less？
• 你愿意从监测点接受多less风险？
• 你的实际需求是什么？
  • 你需要全分组数据吗？
  • 来源 – 目的地交通stream量的更高级别视图是否足够好？

在众多可供select的scheme中，这里有一对：

• 使用NetFlow或SFlow从路由器/交换机/防火墙获取stream量数据
  • 这可能会足够好，比专门的stream量嗅探设置更容易/更便宜
  • 一个可能的select是类似的是ntop
• 在networking上放置内联networking，将所有stream量复制到监控系统（Sniffer）
  • 嗅探器可以是一个简单的Linux机器做包捕获（低端，成本和function）; 或者专用的networking嗅探器设备（高端，成本和function）
  • 成本将取决于function/分析要求，保留要求以及您正在监控的吞吐量
• 使用端口镜像（思科SPAN）将stream量复制到监控点，然后您可以从您的嗅探系统查看
• 把一个Linux盒子作为一个路由器/网桥，并监视或捕获那里的stream量
  • 这使得Linuxnetworking成为您networking的单点故障，如果您不知道自己在做什么，可能会引入其他问题
• 请注意，如果您正在捕获语音stream量，敏感数据（信用卡数据，健康/隐私信息）等，捕获所有stream量（完整数据包）可能会导致一些法律和政治问题。

为了解决您的问题中的一个特定问题，Wireshark是分析数据包捕获或交互式数据包捕获的好scheme，但为了持续捕获，我可能会考虑使用像dumpcap这样的dumpcap 。 如果我以持续的方式运行它，我发现从cron运行一个特定的时间是最有效的。 在低吞吐量捕获，我可能每小时运行小时捕获（3600秒）。 为了获得更高的吞吐量，我可能每10分钟甚至5或2分钟做一次。 如果你要存储很长时间，你可能想分解在“yyyy / mm / dd”目录下的捕获或类似的东西。

忽略这个观念冒犯了我的敏感性的事实，你是否真的有时间去浏览所有的数据，即使在使用filter之后？

虽然这是微不足道的，你要问什么（在网关设备上运行networking嗅探器/监视器），我真的怀疑这是最好的方法。 使用snort等自定义规则可能更好，它可以监视指定的stream量，并在发生时提醒您。