Aggiungi .pcap che termina a tutti i file creati con tcpdump

0

Sto usando tcpdump per una cattura del traffico di rete in rotazione e Moloch come un visualizzatore carino per i dati. Il problema è che tcpdump aggiunge un numero alla fine del nome file, mentre Moloch utilizza solo i file che terminano in .pcap.

C'è un modo per impostare tcpdump per creare nomi di file che terminano con .pcap?

L'uso di una stringa in formato data non funziona perché ho bisogno di ripetere i nomi dei file (dopo ogni 20 file circa).

sudo tcpdump -i eth0 -s 0 -W 4 -G 15 -C 1 -w ./dump.pcap

linux  formatting  filenames  tcpdump 
Timothy Smith
fonte
1
Sembra che sarebbe molto facile modificare tcpdump per mettere il numero prima di .pcap. Forse anche offrirlo come richiesta pull ai manutentori del core. @guyharris
Spiff

Risposte:

0

Immagino che tcpdumps "postrotate-command" possa essere usato per questo. tcpdump [...] -z <command>chiamerò il comando dopo ogni acquisizione con il nome del file corrente, quindi presumo che dovresti essere in grado di rinominare i file con esso, se fai la ridenominazione in un piccolo script di shell:

-z comando postrotate Usato in combinazione con le opzioni -C o -G, questo farà eseguire tcpdump "file comando-postrotate" dove il file è il file di salvataggio che viene chiuso dopo ogni rotazione. Ad esempio, specificando -z gzip o -z bzip2 si comprime ogni file di salvataggio usando gzip o bzip2.

domenukk
fonte
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.