Good to Know Database

Ausgabedatei von tcpdump in mehrere Teile splitten


Mit dem Kommandozeilen-Programm tcpdump kann der gesamte Netzwerkverkehr mitgeschnitten und in einer Ausgabedatei gespeichert werden (siehe Netzwerk-Kommunikation mit tcpdump mitschneiden). Wenn diese Ausgabedatei zu groß geworden ist, kann das Einlesen mit Wireshark sehr lange dauern.

Einen bereits vorhandenen Mitschnitt kann tcpdump mit der Option -r einlesen. Durch die Option -C können Sie die gewünschte Größe der Ausgabedateien angeben. Den Pfad und Dateinamen für die einzelnen Teile geben Sie durch die Option -w an. Der Dateiname wird dann automatisch durch eine fortlaufende Zahl erweitert. Mit der Option -s0 wird sichergestellt, dass die Pakete nicht nach 65535 Bytes abgeschnitten werden.

[root@centos5 ~]# tcpdump -r capture.pcap -C 100 -s0 -w splited_capture.pcap

Falls Sie die Teildateien wieder zusammenfügen wollen, rufen Sie mergecap wie folgt auf.

[root@centos5 ~]# mergecap -s0 -w merged_capture.pcap splited_capture.pcap splited_capture.pcap1 splited_capture.pcap2


Dieser Eintrag wurde am 02.07.2011 erstellt und zuletzt am 24.01.2016 bearbeitet.

Direkter Link zu dieser Seite: http://www.gtkdb.de/index_7_1332.html

[ Zur Startseite ]   [ Zur Kategorie ]


Valid XHTML 1.0 Transitional Valid CSS Valid Atom 1.0

© 2004-2018 by Georg Kainzbauer