tshark (wiresharkのコマンドライン版) を使った時のメモ。
- インタフェースが複数ある場合は、「tshark -D」でインタフェースリストが表示されるので、採りたいインタフェースのID番号を確認する
- インタフェースの指定は「-i (interface ID)」を使う
- 出力するファイルは「-w (filename)」を使う
- 自動停止系の指定は「-a」を使う
- ファイルサイズが一定に達した際に自動停止したい場合は「-a filesize:(size)」を使う (単位:kb)
- 一定時間採取して自動停止したい場合は「-a duration:(time)」を使う (単位:s)
- 切り替えたファイルが一定の数に達したら自動停止する場合は「-a files:(number)」を使う
- ファイルローテート系の指定は「-b」を使う
- ファイルを一定サイズに達したらファイルを切り替える場合は「-b filesize:(size)」を使う
- 一定時間採取してファイルを切り替える場合は「-b duration:(time)」を使う
- 切り替えたファイルが一定の数に達したらラウンドロビンしたい場合は「-b files:(number)」を使う
例として、ファイル1つあたり100Mで切り替えて100個できたら自動終了したい(キャプチャデータ合計10G)場合は、
tshark -i 1 -w captured.cap -b filesize:100000 -a files:100
ちなみに出力されるファイルは、「filename_seq_yyyymmddhhmmss」で出力される(拡張子を指定した場合は拡張子も付く)。