Вызовет ли это в конечном итоге проблему или всегда можно оставить работать. ДОЛЖНЫ ли журналы сохраняться каждый раз и если да, то когда?
Настоящий вопрос: какова цель этого?
Если вам нужно что-то, что может непрерывно регистрировать и контролировать сетевой трафик и при необходимости подключаться к трассировке, рассмотрите решение, которое не имеет таких огромных накладных расходов, например свалка (входит в дистрибутив wirehark.)
Лично я использую Набор средств сетевой безопасности (NST), который является специализированным дистрибутивом, который содержит огромное количество программного обеспечения для анализа и измерений на одном простом в развертывании DVD или образе VMware и поддерживает полностью прозрачный SPAN-захват всего трафика.
В общем, это нормально, особенно если он работает на зеркальном / составном порте - на самом деле это только проблема загрузки / дискового пространства.
Что касается того, когда они должны быть сохранены, это зависит от вашего собственного варианта использования, если честно - не уверен, что кто-то может ответить на это за вас.
кстати - Джеральд Комбс, который написал WireShark, является здесь пользователем и часто всплывает, когда возникают подобные вопросы - это большая привилегия, да!
wirehark использует под крышками dumpcap. Итак, с учетом сказанного вы можете использовать dumpcap в командной строке Windows для сбора трафика. Вы можете сделать что-то вроде этого:
"c:\Program Files\Wireshark\dumpcap" -i 2 -w \temp\output.pcap -b filesize:102400 -b files:5 -f "host 1.1.1.1"
другие флаги можно найти здесь http://www.wireshark.org/docs/wsug_html_chunked/AppToolsdumpcap.html
Если вы в окнах ...
Если вы просто пытаетесь захватить для последующего анализа, посмотрите на использование ветер (распространяется с winpcap) с -C file_size вариант. Это заставит его закрыть текущий выходной файл и открыть новый при достижении параметра file_size. Вы также можете указать параметры для имен файлов по мере их поворота.
В Linux вы можете использовать тот же вариант с tcpdump.
Затем вы можете загрузить файл размером, скажем, 100 МБ в Wireshark, а не весь захват.
Вместо Wireshark рассмотрите возможность использования n2disk, от людей, написавших отличные ntop.
Цитируя их страницу:
С помощью n2disk вы можете захватывать полноразмерные сетевые пакеты на мультигигабитной скорости (более 10 гигабит / с на соответствующем оборудовании) с активного сетевого интерфейса и записывать их в файлы без потери пакетов. n2disk был разработан для очень длительной записи файлов на диски.
С помощью ДНК (Прямой доступ к Nic), вы можете скорость захвата 10 Гбит / с на диск (учитывая правильное оборудование).
Если старые записи не удаляются, это может привести к нехватке памяти для другого программного обеспечения.