1. Kobecow

    Posted

    Kobecow
Changes in title
+tcpdumpを長時間取得したい
Changes in tags
Changes in body
Source | HTML | Preview
@@ -0,0 +1,55 @@
+# やりたいこと:tcpdumpを長時間取得したい
+
+IP 192.168.56.100の25番portのパケットキャプチャーを1日分取得したい。
+※OSはRedHat7,キャプチャを取りたいNICはenp0s8
+
+
+## コマンドの準備
+コマンドを実行する前に考慮したこと
+- 出力されるファイルのサイズ
+- サーバーと通信していなくても(ログアウトしても)、キャプチャが取得できること
+
+どれくらいのファイルが出力されるかを/tmpで確認した。
+
+```ruby:/tmp
+tcpdump -w test25 -i enp0s8 port 25 and host 192.168.56.100
+```
+コマンドを実行した5分後にctrl + Cを打鍵
+
+ファイル(test25)の大きさを確認したが200KBほどだったため、単純計算で
+
+`200KB * 12 * 24 = 57.6MB`
+
+ファイルサイズは問題ない。
+## コマンド実行
+
+```ruby:/tmp
+nohup tcpdump -w tcpdump25 -i enp0s8 port 25 and host 192.168.56.100 &
+```
+
+## コマンドの説明
+- nohup
+サーバーからログアウトしてもプロセスが落ちない(job)
+
+- -w tcpdump25
+パケットキャプチャをtcpdump25というファイルに出力する
+
+- -i enp0s8
+パケットキャプチャを取得するNICはenp0s8
+
+- tcpdump XXX &
+tcpdumpのプロセスをバックグラウンドで実行
+
+## コマンド実行後
+特に必要な処理はない。
+私の場合はexitして1日後にサーバーにログインして
+`ps aux` で`tcpdump`のプロセスが存在することを確認した。
+
+## コマンド(プロセス)終了方法
+```ruby:
+kill [PID]
+```
+
+## 確認
+出力したファイルをWireSharkで確認した。
+