将流量镜像到tcpdump服务器并自动保存pcaps。

Question

通过端口镜像网络防火墙接口，将该接口连接到Linux服务器，并让该Linux服务器不断运行tcpdump并将输出存储在文件中。

具体来说，我的要求是，当pcap的大小达到一个特定的数字时，要一次又一次地保存该文件。

例如：

Juniper防火墙端口2反映端口1上的所有通信量。端口2连接到Linux服务器上的eth0。Linux有一个在eth0上不断运行的tcpdump进程。Linux服务器被配置为将流量保存到名为"tcpdump.pcap“的文件，但是当pcap超过特定大小时，它将压缩并重命名为"tcpdump.pcap.0.gz”。当第二个文件超过特定大小时，它将被重命名为"tcpdump.pcap.1.gz"，等等。

这将允许我在过去的X时间内查看网络流量(就目前而言，我希望在过去72小时内具有可见度)。

这里的问题是，我不知道如何完成上述工作。具体来说，如何使tcpdump连续运行，并自动保存pcaps，并按时间顺序自动压缩和重新命名？

Answer 1

让我们从以下几个部分来分析这个问题：

• 让tcpdump以pcap格式保存转储:您可以使用-w选项。永远都是，仔细阅读手册页
• 连续运行tcpdump：您可以使用screen运行tcpdump，而不是随意分离/附加；进程将继续运行，直到停止为止；
• 旋转日志文件：根据马克·里德尔的建议您可以使用-C选项让tcpdump旋转pcap，或者可以配置并使用logrotate来在达到特定大小时自动重命名/旋转日志文件