複数のpcapをxargsループに送信して単一のファイルにtcpdumpできるようにしようとしています。 Bro's Timemachineの1GB PCAPファイル。
オンラインにはいくつかの例がありますが、私ができる唯一のことは、処理する前にマージすることです。これは非常にプロセッサ集約的です。
頑張った…
ls class_all_1447887* | xargs -t -I file tcpdump -nnr file -w ~/test.cap "src 127.1.0.1"
...しかし、順番に追加する代わりに、各ループに対してtest.capを再生成します。
セッションを分割するために最初に15 GBのファイルを作成せずにこれを行う方法はありますか?
ベストアンサー1
tcpdump毎回新しいファイルを作成する代わりに、tcpdump標準出力に書き込み、コマンド全体の出力を~/test.cap。
このように:
ls class_all_1447887* |
xargs -t -I file tcpdump -nnr file "src 127.1.0.1" > ~/test.cap
あるいは、入力ファイルごとに異なるファイルを作成することもできます。
mkdir ~/test.cap.d
ls class_all_1447887* |
xargs -t -I file tcpdump -nnr file -w ~/test.cap.d/file.tcpd "src 127.1.0.1"
NetMinerとWiresharkの入力要件や出力に慣れていませんtcpdump。