TcpDump Rolling command

By | 2021년 8월 23일

이러저러한 이유로 패킷을 캡쳐해서 분석해야 일이 있을때 좋은 명령이다.

해당 패킷을 캡쳐하는 시기를 알 수 있으면 쉽게 캡쳐하면 되지만 언제인지 알 수 없을 경우에는 난감하다.

계속 패킷을 캡쳐하자니 용량이 너무 커지고..

그런 걱정을 덜기위해 tcpdump해 rolling 을 할 수 있는 옵션이 있다.

sudo tcpdump -i eth0 -C 100 -W 10 -w /tmp/mydump.$(date +%Y-%m-%d:%H:%M:%S).pcap > /dev/null 2>&1 < /dev/null &
  • -i eth0 : 캡쳐할 장치
  • -C 100 : 한 파일당 최대 100메가
  • -W 10 : 10개의 파일만 생성
  • -w … : 저장 경로
  • “> /dev/null 2>&1 < /dev/null &” : 명령을 실행한 사용자가 접속을 종료하더라요 백그라운드로 계속 실행.

이렇게 하면 한파일당 100메가를 유지하고 파일을 최대 10개까지만 유지하면서 오래된 파일 부터 덮어 씌우면 캡쳐 파일이 생성된다.

답글 남기기

이메일 주소는 공개되지 않습니다. 필수 항목은 *(으)로 표시합니다