一、要求:每10分钟对指定网卡上的指定ip进行抓包
tcpdump -i eth1 host 192.168.201.10 -s0 -G 600 -w %Y_%m%d_%H%M_%S.pcap -Z root &
- 指定网卡:eth1
- 指定主机:192.168.201.10(包括src或dst,src host 192.168.201.10 只抓取原地址是192.168.201.10的ip包)
- 防止包截断:tcpdump -s0,tcpdump默认截断68字节
- -G 选项后面接时间,单位为秒;本例中的时间为600秒
- 抓包的名字以时间戳命名:%Y_%m%d_%H%M_%S.pcap
二、要求:每小时对指定的网口(如:eth1)进行抓包,后台运行,并形成以日期命令的文件
nohup tcpdump -i eth1 -s0 -G 3600 -w %Y_%m%d_%H%M_%S.pcap -Z root &
查看运行的tcpdump命令
ps -ef | grep tcpdump
为了能和应用程序比对,命令可选在整点进行运行,下图中即为从19:00开始的抓包,到20:00形成第一个抓包文件。
形成的每小时抓包文件
网友评论