Кто-нибудь написал утилиту, которая одновременно фильтрует и объединяет многие pcap-форматировать файлы захвата пакетов? tshark и tcpdump фильтровать, но не объединять, mergecap сливается, но не фильтрует. Я пытаюсь отфильтровать 64 ГБ захватов (сжатых!) В один файл гораздо меньшего размера, и было бы неплохо, если бы мне не понадобилось другой несколько ГБ свободного места и два шага, оба медленные.
Утилита должен работать в Linux и в идеале уже будет упакован в Debian. Очень желательна возможность чтения файлов трассировки в сжатом виде. Быть быстрым тоже очень желательно (tshark занимает от десяти до тридцати минут, чтобы обработать один входных файлов; их 120). Я могу жить с ограничениями libpcapсинтаксис фильтра.
Копаясь в обратных зависимостях libpcap в Debian, я нашел Tracesplit (одна из утилит командной строки в комплекте с libtrace), который выполняет мой одновременный фильтр и слияние и может обработать полный набор данных за 20 минут, что, вероятно, так же хорошо, как я. Немного странно, что вы используете Трещина инструмент для слияние с фильтрацией, да как там.