Linux

將流量鏡像到 tcpdump 伺服器並自動保存 pcaps

  • January 9, 2019

希望埠鏡像網路防火牆介面,將該介面連接到 Linux 伺服器,並讓該 Linux 伺服器不斷執行 tcpdump 並將輸出儲存在文件中。

具體來說,我的要求是當文件的大小達到特定數量時,一遍又一遍地保存 pcap 文件。

例如:

瞻博網路防火牆埠 2 鏡像埠 1 上的所有流量。埠 2 連接到 Linux 伺服器上的 eth0。Linux 伺服器有一個 tcpdump 程序在 eth0 上不斷執行。Linux 伺服器被配置為將流量保存到一個名為“tcpdump.pcap”的文件中,但是當 pcap 文件超過特定大小時,它會壓縮並重命名為“tcpdump.pcap.0.gz”。當第二個文件超過特定大小時,它將被重命名為“tcpdump.pcap.1.gz”等。

這將允許我查看過去 X 時間內的網路流量(目前,我希望在過去 72 小時內獲得可見性)。

這裡的問題是我不知道如何完成上述操作。具體來說,如何讓 tcpdump 連續執行,並自動保存 pcaps,並按時間順序自動壓縮和重命名?

讓我們將問題分解為以下部分:

  • 讓我們tcpdump以 pcap 格式保存轉儲:您可以使用該-w選項。和往常一樣,仔細閱讀手冊頁
  • 連續執行tcpdump:您可以使用screen執行tcpdump,而不是隨意分離/附加;該過程將繼續執行,直到您停止它;
  • 旋轉日誌文件:$$ as per Mark Riddell suggestion $$您可以使用-C選項讓tcpdump旋轉 pcap 文件,或者,您可以配置並使用logrotate在達到特定大小時自動重命名/旋轉日誌文件

引用自:https://serverfault.com/questions/795867