我需要对大量数据进行 tcpdumping - 实际上来自处于混杂模式的 2 个接口,它们能够看到大量流量。
把它们加起来
现在我像这样使用 tcpdump:
ifconfig ethX promisc
ifconfig ethX promisc
tcpdump -n -C 1000 -z /data/compress.sh -i any -w /data/livedump/capture.pcap $FILTER
该$FILTER包含SRC / DST过滤器,这样可以使用-i any。这样做的原因是,我有两个接口,我想在单个线程而不是两个线程中运行转储。
compress.sh 负责将 tar 分配给另一个 CPU 内核,压缩数据,给它一个合理的文件名并将其移动到存档位置。
我无法指定两个接口,因此我选择使用过滤器并从any接口转储。
现在,我不做任何内务处理,但我计划监控磁盘,当我有 100G 剩余时,我将开始擦除最旧的文件 - 这应该没问题。
我看到丢包了。这是来自一个已经运行了几个小时并收集了大约 250 个 pcap 文件的转储:
430083369 packets captured
430115470 packets received by …我有一个包含以下详细信息的目录:
drwxrwxr-x 6 root devs 4.0K Sep 9 14:57 project_dev
现在我希望www-data(Apache 守护进程)能够访问该目录,所以在我看来,我计划添加www-data到组开发者中。但是我担心如果执行此操作会造成破坏:
usermod -a -G devs www-data
请输入。