Ищу зеркало порта для интерфейса сетевого брандмауэра, подключите этот интерфейс к серверу Linux, и пусть этот сервер Linux постоянно запускает tcpdump и сохраняет выходные данные в файлах.
В частности, мое требование состоит в том, чтобы файлы pcap сохранялись снова и снова, когда размер этого файла достигает определенного номер.
Например:
Порт 2 брандмауэра Juniper зеркалирует весь трафик на порту 1. Порт 2 подключается к eth0 на сервере Linux. Сервер Linux имеет процесс tcpdump, постоянно работающий на eth0. Сервер Linux настроен на сохранение трафика в файл с именем «tcpdump.pcap», но когда файл pcap превышает определенный размер, он сжимается и переименовывается в «tcpdump.pcap.0.gz». Когда второй файл превышает определенный размер, он будет переименован в «tcpdump.pcap.1.gz» и т. Д.
Это позволит мне просматривать сетевой трафик за прошедшее время X (на данный момент Я хочу иметь видимость за последние 72 часа.)
Проблема в том, что я не знаю, как сделать это. В частности, как заставить tcpdump работать непрерывно и автоматически сохранять файлы pcap, а также автоматически сжимать и переименовывать в хронологическом порядке?
Давайте разберем проблему на следующие части:
tcpdump
сохранить дамп в формате pcap : вы можете использовать параметр -w
. Как всегда, внимательно читайте справочную страницу tcpdump
: вы можете использовать screen
для запуска tcpdump
, а затем отсоединить / прикрепить на своем будут; процесс будет продолжаться, пока вы его не остановите; -C
, чтобы разрешить tcpdump
поверните файл pcap или, в качестве альтернативы, вы можете настроить и использовать logrotate
для автоматического переименования / поворота файла журнала при достижении определенного размера