タイトル変えました〜 ubuntuを中心にlinuxのセットアップとか覚書とかをもろもろ書いていきます。あとCisco系のネットワークやjQueryとかも余裕があれば書いていきたい....

tshark (wiresharkのコマンドライン版) を使った時のメモ。
  • インタフェースが複数ある場合は、「tshark -D」でインタフェースリストが表示されるので、採りたいインタフェースのID番号を確認する
  • インタフェースの指定は「-i (interface ID)」を使う
  • 出力するファイルは「-w (filename)」を使う
  • 自動停止系の指定は「-a」を使う
    • ファイルサイズが一定に達した際に自動停止したい場合は「-a filesize:(size)」を使う (単位:kb)
    • 一定時間採取して自動停止したい場合は「-a duration:(time)」を使う (単位:s)
    • 切り替えたファイルが一定の数に達したら自動停止する場合は「-a files:(number)」を使う
  • ファイルローテート系の指定は「-b」を使う
    • ファイルを一定サイズに達したらファイルを切り替える場合は「-b filesize:(size)」を使う
    • 一定時間採取してファイルを切り替える場合は「-b duration:(time)」を使う
    • 切り替えたファイルが一定の数に達したらラウンドロビンしたい場合は「-b files:(number)」を使う

例として、ファイル1つあたり100Mで切り替えて100個できたら自動終了したい(キャプチャデータ合計10G)場合は、

tshark -i 1 -w captured.cap -b filesize:100000 -a files:100



ちなみに出力されるファイルは、「filename_seq_yyyymmddhhmmss」で出力される(拡張子を指定した場合は拡張子も付く)。

コメントをかく


「http://」を含む投稿は禁止されています。

利用規約をご確認のうえご記入下さい

×

この広告は60日間更新がないwikiに表示されております。

管理人/副管理人のみ編集できます