Fügen Sie allen mit tcpdump erstellten Dateien die Endung .pcap hinzu

413
Timothy Smith

Ich verwende tcpdump für eine rotierende Erfassung des Netzwerkverkehrs und Moloch als schönen Viewer für die Daten. Das Problem ist, dass tcpdump eine Zahl an das Ende des Dateinamens anfügt, während Moloch nur Dateien verwendet, die auf .pcap enden.

Gibt es eine Möglichkeit, tcpdump so einzurichten, dass Dateinamen mit der Endung .pcap erstellt werden?

Die Verwendung einer Datumsformat-Zeichenfolge funktioniert nicht, da die Dateinamen wiederholt werden müssen (nach jeweils 20 Dateien).

sudo tcpdump -i eth0 -s 0 -W 4 -G 15 -C 1 -w ./dump.pcap

0
Es scheint so, als wäre es sehr einfach, tcpdump so zu ändern, dass die Nummer vor dem .pcap steht. Vielleicht bieten Sie es sogar als Pull-Anfrage an die Kernbetreuer an. @ Guyharris Spiff vor 5 Jahren 1

1 Antwort auf die Frage

0
domenukk

Ich denke, tcpdumps "postrotate-command" kann dafür verwendet werden. tcpdump [...] -z <command>ruft den Befehl nach jedem Capture mit dem aktuellen Dateinamen auf, daher sollten Sie in der Lage sein, Dateien damit umzubenennen, wenn Sie das Umbenennen in einem kleinen Shell-Skript durchführen:

-z postrotate-command Wird in Verbindung mit den Optionen -C oder -G verwendet. Dadurch wird tcpdump "postrotate-command file" ausgeführt, wobei file die Sicherungsdatei ist, die nach jeder Drehung geschlossen wird. Wenn Sie beispielsweise -z gzip oder -z bzip2 angeben, werden alle Sicherungsdateien mit gzip oder bzip2 komprimiert.

Verwandte Probleme