合并线上的pcap文件

Question

我已经创建了一个sh脚本来使用'mergecap‘命令合并pcap。但我正面临一个问题。我需要的是合并所有5天前的pcap，所以我使用“find”命令查找所有大于5天的文件。

FILES=$(find /capture/nop/ -maxdepth 1 -name "*.pcap" -mtime +5)

如何在mergecap命令中使用数组文件？

mergecap -w outfulfile.pcap input1.pcap input2.pcap

此外，还可以使用合并后的第一个和最后一个文件的文件名作为输出文件的文件名。

Answer 1

这能做你想做的事吗？

#!/bin/bash
FILES=($(find /capture/nop/ -maxdepth 1 -name "*.pcap" -mtime +5))
# Discard path name and extension
TAG1=$(basename "${FILES[0]}" | sed 's/.pcap//')
TAG2=$(basename "${FILES[-1]}" | sed 's/.pcap//')
mergecap -w "output_from_${TAG1}_to_$TAG2" ${FILES[@]}