Некоторые из моих серверов собирают много пакетных данных. Есть ли утилита (или патч для tcpdump(1)), чтобы записать на диск поток pcap, который:
crond(8)+tmpwatch(8))В основном я хочу multilog или svlogd это Groks формат записи pcap.
В -W количество файлов вариант tcpdump-4.0.0 "сокращает" путем повторного использования старых имен файлов, что нарушает пункт 3 выше, вынуждая меня консультироваться с mtimes, чтобы определить новизну и не предоставляя никаких гарантий против неожиданного усечения файла журнала.
В -ГРАММ вариант вводит strftime(2)Поддержка -specifier в именах выходных файлов, что дало бы мне хотя бы вторую точность в именах файлов, но я не могу понять, как заставить обрезку работать с этой схемой.
Свалка должен делать то, что вам нужно.
dumpcap -w /tmp/output.pcap -b filesize:20000 -b files:10
будет вращаться не более 10 файлов с максимальным размером 20 МБ. Каждый файл имеет уникальное имя, например output_00018_20100315122857.pcap.
Демонлоггер тоже должно работать, но я им не пользовался.
Вы можете захотеть Grok. Он делает то, что вы хотите, а потом еще немного.