WireShark: буферизировать только последние 10 000 пакетов
Я использую WireShark, чтобы следить за трафиком на двух портах 10G в режиме реального времени. Проблема в том, что через эти два порта поступает так много трафика, что WireShark выходит из строя в течение минуты.
Есть ли у WireShark способ буферизовать только небольшое количество пакетов (скажем, 10 000 самых последних) и отбрасывать все ранее захваченное?
1 ответ
Решение
Вы можете использовать вращающиеся файлы журнала, чтобы получить нечто подобное.
Использование wireshark для сохранения "живого" представления в любом случае / не рекомендуется: я бы предпочел использовать запись tcpdump для вращающихся файлов журнала "size" (см. Параметры журнала tcpdump) и wireshark -r для просмотра результатов.