У меня возникли проблемы с тем, чтобы tcpdump регистрировал весь интернет-трафик на интерфейсе со следующими ограничениями:
Я играю со следующей командой:
tcpdump -pni eth0 -s65535 -G 3600 -C 100 -w '/var/log/tcpdump/trace_%Y-%m-%d_%H:%M:%S.pcap'
В результате я получаю файл журнала каждый час, но, похоже, он не разбивает файл, если он становится больше 100.
Кто-нибудь знает, где я лажаю? Приветствую за помощь
Ваша команда должна работать, возможно, есть ошибка.
Вместо этого используйте tshark (пакет wirehark):
tshark -i eth0 -b duration:3600 -b filesize:102400 -s 65535 -w trace.pcap
Создаваемые имена файлов основаны на имени файла, заданном с параметром -w, номере файла и дате и времени создания, например Outfile_00001_20050604120117.pcap, outfile_00002_20050604120523.pcap, ...