系统:Win 10 Pro 和最新更新(2020 年 9 月)64 位。
问题:即使在关闭 dumpcap.exe 后,使用带有 ringbuffer 的 dumpcap (Dumpcap (Wireshark) 3.2.5 (v3.2.5-0-ged20ddea8138)) 也会保留 RAM。需要重新启动 PC 以释放内存。注销不会这样做。
转储帽命令:
exe: C:\Program Files\Wireshark\dumpcap.exe
参数:-i "接口" -w "ValidLogFolder" -b 文件:20 -b 文件大小:600
文件大小并没有真正的数学,即使使用 2GByte 的文件大小,我也会得到相同的行为。我检查了我是否有文件 * 文件大小 * [KByte] ram 空闲。数据保存在ssd上。
在启动 dumpcap.exe 之前,RAM 使用量约为 4GByte。当我让它运行(10Gbit 接口和 8Gbit/s 流量)时,使用率会上升。下图是我停止 dumpcap.exe 后的 RAM 使用情况。用法停留在我停止转储盖的地方。
此外,环形缓冲区不会覆盖现有文件,而是添加新文件。我尝试改变命令的顺序。
这里发生了什么?
我想制作一个环形缓冲区来长期监控大量流量。
编辑:我在 Gitlab 上打开了一个问题: https ://gitlab.com/wireshark/wireshark/-/issues/16846
问题出在 npcap 驱动程序 0.9994 上。引用 GitLAB 的答案: