我的一些服务器收集了大量的数据包数据。是否有实用程序(或补丁tcpdump(1))将 pcap 流记录到磁盘,其中:
- 根据写入数据的大小轮换
- 修剪写入的文件,只保留最近的N个
- 不重用输出文件名
- 是自包含的
(排除,例如,通过crond(8)+进行外部修剪的旋转tmpwatch(8))
基本上我想要一个multilog或svlogdgroks pcap 记录格式。
“修剪”的-W 文件计数选项tcpdump-4.0.0通过回收旧文件名,这违反了上面的 #3,迫使我咨询 mtimes 以确定新近度,并且不保证不会意外截断日志文件。
-G选项在输出文件名中引入了-specifierstrftime(2)支持,这将使我的文件名至少达到第二精度,但我不知道如何进行修剪以使用此方案。
Dumpcap应该做你需要的。
将旋转最多 10 个文件,最大大小为 20 MB。每个文件都有一个唯一的名称,例如 output_00018_20100315122857.pcap。
Daemonlogger应该也可以工作,但我没有使用它。
你可能想要Grok。它做你想做的,然后做一些。