Зеркальное отображение трафика на сервер tcpdump и автоматическое сохранение pcaps.
Ищу зеркало порта для интерфейса сетевого брандмауэра, подключите этот интерфейс к серверу Linux, и пусть этот сервер Linux постоянно запускает tcpdump и сохраняет выходные данные в файлах.
В частности, мое требование состоит в том, чтобы файлы pcap сохранялись снова и снова, когда размер этого файла достигает определенного номер.
Например:
Порт 2 брандмауэра Juniper зеркалирует весь трафик на порту 1. Порт 2 подключается к eth0 на сервере Linux. Сервер Linux имеет процесс tcpdump, постоянно работающий на eth0. Сервер Linux настроен на сохранение трафика в файл с именем «tcpdump.pcap», но когда файл pcap превышает определенный размер, он сжимается и переименовывается в «tcpdump.pcap.0.gz». Когда второй файл превышает определенный размер, он будет переименован в «tcpdump.pcap.1.gz» и т. Д.
Это позволит мне просматривать сетевой трафик за прошедшее время X (на данный момент Я хочу иметь видимость за последние 72 часа.)
Проблема в том, что я не знаю, как сделать это. В частности, как заставить tcpdump работать непрерывно и автоматически сохранять файлы pcap, а также автоматически сжимать и переименовывать в хронологическом порядке?
Давайте разберем проблему на следующие части:
- позвольте
tcpdumpсохранить дамп в формате pcap : вы можете использовать параметр-w. Как всегда, внимательно читайте справочную страницу - постоянно запускайте
tcpdump: вы можете использоватьscreenдля запускаtcpdump, а затем отсоединить / прикрепить на своем будут; процесс будет продолжаться, пока вы его не остановите; - поверните файл журнала : [согласно предложению Марка Ридделла] вы можете использовать параметр
-C, чтобы разрешитьtcpdumpповерните файл pcap или, в качестве альтернативы, вы можете настроить и использоватьlogrotateдля автоматического переименования / поворота файла журнала при достижении определенного размера