希望端口镜像网络防火墙接口,将该接口连接到 Linux 服务器,并让该 Linux 服务器不断运行 tcpdump 并将输出存储在文件中。
具体来说,我的要求是当文件的大小达到特定数量时,一遍又一遍地保存 pcap 文件。
例如:
瞻博网络防火墙端口 2 镜像端口 1 上的所有流量。端口 2 连接到 Linux 服务器上的 eth0。Linux 服务器有一个 tcpdump 进程在 eth0 上不断运行。Linux 服务器配置为将流量保存到名为“tcpdump.pcap”的文件中,但是当 pcap 文件超过特定大小时,它会压缩并重命名为“tcpdump.pcap.0.gz”。当第二个文件超过特定大小时,它将被重命名为“tcpdump.pcap.1.gz”等。
这将允许我查看过去 X 时间内的网络流量(目前,我希望在过去 72 小时内获得可见性)。
这里的问题是我不知道如何完成上述操作。具体来说,如何让 tcpdump 连续运行,并自动保存 pcaps,并按时间顺序自动压缩和重命名?
让我们将问题分解为以下部分:
tcpdump以 pcap 格式保存转储:您可以使用该-w选项。和往常一样,仔细阅读手册页tcpdump:您可以使用screen运行tcpdump,而不是随意分离/附加;该过程将继续运行,直到您停止它;-C选项让tcpdump旋转 pcap 文件,或者,您可以配置并使用logrotate在达到特定大小时自动重命名/旋转日志文件