이러저러한 이유로 패킷을 캡쳐해서 분석해야 일이 있을때 좋은 명령이다.
해당 패킷을 캡쳐하는 시기를 알 수 있으면 쉽게 캡쳐하면 되지만 언제인지 알 수 없을 경우에는 난감하다.
계속 패킷을 캡쳐하자니 용량이 너무 커지고..
그런 걱정을 덜기위해 tcpdump해 rolling 을 할 수 있는 옵션이 있다.
sudo tcpdump -i eth0 -C 100 -W 10 -w /tmp/mydump.$(date +%Y-%m-%d:%H:%M:%S).pcap > /dev/null 2>&1 < /dev/null &
- -i eth0 : 캡쳐할 장치
- -C 100 : 한 파일당 최대 100메가
- -W 10 : 10개의 파일만 생성
- -w … : 저장 경로
- “> /dev/null 2>&1 < /dev/null &” : 명령을 실행한 사용자가 접속을 종료하더라요 백그라운드로 계속 실행.
이렇게 하면 한파일당 100메가를 유지하고 파일을 최대 10개까지만 유지하면서 오래된 파일 부터 덮어 씌우면 캡쳐 파일이 생성된다.