Windows

Dumpcap - Ram 停止後仍然保留

  • September 14, 2020

系統:Win 10 Pro 和最新更新(2020 年 9 月)64 位。

問題:即使在關閉 dumpcap.exe 後,使用帶有 ringbuffer 的 dumpcap (Dumpcap (Wireshark) 3.2.5 (v3.2.5-0-ged20ddea8138)) 也會保留 RAM。需要重新啟動 PC 以釋放記憶體。註銷不會這樣做。

轉儲帽命令:

exe: C:\Program Files\Wireshark\dumpcap.exe

參數:-i “介面” -w “ValidLogFolder” -b 文件:20 -b 文件大小:600

文件大小並沒有真正的數學,即使使用 2GByte 的文件大小,我也會得到相同的行為。我檢查了我是否有文件 * 文件大小 *

$$ KByte $$公羊免費。數據保存在ssd上。 在啟動 dumpcap.exe 之前,RAM 使用量約為 4GByte。當我讓它執行(10Gbit 介面和 8Gbit/s 流量)時,使用率會上升。下圖是我停止 dumpcap.exe 後的 RAM 使用情況。用法停留在我停止轉儲蓋的地方。

在此處輸入圖像描述

此外,環形緩衝區不會覆蓋現有文件,而是添加新文件。我嘗試改變命令的順序。

這裡發生了什麼?

我想製作一個環形緩衝區來長期監控大量流量。

編輯:我在 Gitlab 上打開了一個問題: https ://gitlab.com/wireshark/wireshark/-/issues/16846

問題出在 npcap 驅動程序 0.9994 上。引用 GitLAB 的答案:

是的,以前版本的 Npcap 正在洩漏記憶體。他們希望用 0.9997 修復…我們目前在 Wireshark 3.3.0 開發快照中發布 Npap 0.9997,我們將在 Wireshark 3.2.7 中捆綁它。

引用自:https://serverfault.com/questions/1033371