【发布时间】:2021-10-09 07:59:58
【问题描述】:
我有以下命令: sudo tcpdump -ni enp0s3 -W 1 -C 1 -w file.cap 使用此命令,我说:“在网络接口 enp0s3 上侦听并捕获最大大小必须为 1 mb 的文件中的所有数据包”。它可以工作,但问题是当文件达到 1mb 的大小时,它会被重置,并且从 0 kb 重新开始捕获,删除所有数据包。 我希望当文件为 1MB 时,只删除旧包并添加新包以替换它们。我不希望删除所有数据包并在 0kb 处重新开始采集。换句话说,我希望文件始终保持在 1mb 左右,并添加新的传入数据包来代替最旧的数据包。
【问题讨论】:
-
这个答案不能解决我的问题,因为我想轮换同一个文件(只有一个 .pcap 文件)并丢弃最旧的数据包以添加新的传入数据包。
-
那么为什么不
logrotate? -
我搜索了很多示例,但我发现的示例总是使用多个文件或从一开始就覆盖了同一个文件。
-
这能回答你的问题吗? Write to another tcpdump file every minute
标签: linux file packet pcap tcpdump