tcpdumdについて質問があります。 -wで指定できるファイルに直接データを保存しますか、それとも停止したときにデータを保存しますか?それでは、USBスティックに記録されている場合はマウントを解除できますか?完全なデータはUSBドライブにのみ保存されます。プラグを抜いた後もデータを書き続けるオプションはありますか?
ベストアンサー1
-wで指定できるファイルに直接データを保存しますか、それとも停止したときにデータを保存しますか?
デフォルトでは、使用する標準I / Oライブラリバッファがいっぱいになると、ファイルにデータを書き込みます。これらのバッファは通常4Kまたは8Kバイトであるため、4Kまたは8Kバイトごとにファイルにデータを書き込みます。停止すると、まだ作成していない内容をすべて作成します。
最新バージョンのtcpdump(最新バージョンのlibpcapで構築)で-Uこのフラグを使用できます。これは、バッファがまだいっぱいになっていない場合でも、受信したすべてのパケットを記録するようにtcpdumpに指示します。
それでは、USBスティックに記録されている場合はマウントを解除できますか?完全なデータはUSBドライブにのみ保存されます。
いいえ、最初にtcpdumpを停止してから停止する必要があります。それからすべてのデータをここに保存するには、USBスティックをアンマウントしてください。
さらに、強制マウント解除を実行しない限り、システムはtcpdumpがUSBドライブにファイルを書き込んでいる間にUSBドライブのマウント解除を拒否することがあります。強制的に削除すると、tcpdumpのデータが失われます。そしてカーネルファイルシステムバッファ内のデータが失われる可能性があります。
プラグを抜いた後もデータを書き続けるオプションはありますか?
tcpdumpの実行中にUSBスティックを削除すると、tcpdumpのデータとカーネルファイルシステムバッファが失われる可能性があります。
run を使用すると、-Utcpdumpから失われる唯一のデータは次のとおりです。真ん中USB スティックをマウント解除または削除すると、まだ USB スティックに書き込まれていないカーネルファイルシステムバッファのすべてのデータが失われます。