2013年3月12日 星期二

tcpdump 定時出檔

同樣因某需求,我們希望tcpdump 一天出一次檔就好了,以方便判讀。

語法是:
tcpdump -G 10 -i eth1 -w /tmp/test-%F-%T.cap



要符合我們的需求的話,可能就是
tcpdump -G 86400 -i eth1 -w /tmp/NTU-%F.cap


P.S. 60*60*24 = 86400,執行時間:23:59:59

補充一下。
如果要看packet的內容的話 (封包可能被切斷,而無法用tcpdump或其它指令,例如ngrep或tcpflow看其內容。)
可以用tshark -V的指令來處理。

man裡面的解釋是這樣:
       -V  Cause TShark to print a view of the packet details rather than a one-line summary
           of the packet.

可以看packet detail而不是看一行的summary。




1 則留言: