將流量鏡像到 tcpdump 伺服器並自動保存 pcaps

希望埠鏡像網路防火牆介面，將該介面連接到 Linux 伺服器，並讓該 Linux 伺服器不斷執行 tcpdump 並將輸出儲存在文件中。

具體來說，我的要求是當文件的大小達到特定數量時，一遍又一遍地保存 pcap 文件。

例如：

瞻博網路防火牆埠 2 鏡像埠 1 上的所有流量。埠 2 連接到 Linux 伺服器上的 eth0。Linux 伺服器有一個 tcpdump 程序在 eth0 上不斷執行。Linux 伺服器被配置為將流量保存到一個名為“tcpdump.pcap”的文件中，但是當 pcap 文件超過特定大小時，它會壓縮並重命名為“tcpdump.pcap.0.gz”。當第二個文件超過特定大小時，它將被重命名為“tcpdump.pcap.1.gz”等。

這將允許我查看過去 X 時間內的網路流量（目前，我希望在過去 72 小時內獲得可見性）。

這裡的問題是我不知道如何完成上述操作。具體來說，如何讓 tcpdump 連續執行，並自動保存 pcaps，並按時間順序自動壓縮和重命名？

讓我們將問題分解為以下部分：

• 讓我們tcpdump以 pcap 格式保存轉儲：您可以使用該-w選項。和往常一樣，仔細閱讀手冊頁
• 連續執行tcpdump：您可以使用screen執行tcpdump，而不是隨意分離/附加；該過程將繼續執行，直到您停止它；
• 旋轉日誌文件：$$ as per Mark Riddell suggestion $$您可以使用-C選項讓tcpdump旋轉 pcap 文件，或者，您可以配置並使用logrotate在達到特定大小時自動重命名/旋轉日誌文件

引用自：https://serverfault.com/questions/795867