Ya, sepertinya itu tidak berfungsi seperti jawaban MariusMatutiae .
tcpdump ...{other options}... -w httpdebug.pcap -W 48 -G 1800 -C 100
$ ls -l
-rw-r--r--. 1 tcpdump tcpdump 100007441 Mar 17 17:57 httpdebug.pcap00
-rw-r--r--. 1 tcpdump tcpdump 46895104 Mar 17 18:02 httpdebug.pcap01
-rw-r--r--. 1 tcpdump tcpdump 93091143 Mar 17 17:47 httpdebug.pcap02
-rw-r--r--. 1 tcpdump tcpdump 5372072 Mar 17 16:17 httpdebug.pcap03
Sepertinya saya mungkin menangkap sebanyak mungkin -C 100
file MB dalam 30 menit karena httpdebug.pcap03
memiliki stempel waktu paling awal dan jauh lebih kecil dari 100MB, jadi sepertinya dipotong pada tanda 30 menit. Setelah mencapai 30 menit, tampaknya akan melompat kembali ke httpdebug.pcap00
dan menambah angka saat mencapai 100MB. Ini berarti bahwa jika Anda memiliki banyak permintaan dalam periode 30 menit, Anda mendapatkan angka httpdebug.pcapXX yang sangat tinggi. Jika Anda tidak pernah mencapai sebanyak itu permintaan dalam suatu periode lagi, angka-angka httpdebug.pcapXX yang tinggi itu tidak akan pernah ditimpa.
Jadi saya berpikir file siklikal per kutu waktu berarti kutu waktu itu -G 1800
dan akan siklus setiap -G 1800
dan setiap kenaikan -C 100
.
Saya tidak yakin apakah -W 48
memengaruhinya, tetapi mungkin jika Anda mendapatkan httpdebug.pcap47
(hitungan dimulai dari 0`, itu akan berhenti menangkap paket.
Agak baru-baru ini, ada masalah GitHub dibuka tentang kata-kata yang membingungkan. Mereka tidak mengubah implementasi, tetapi mereka mencoba untuk membuat dokumentasi sedikit lebih jelas.
The perubahan yang diusulkan digabung dalam pada Jan 28, 2019 .
Sampai hari ini, 17 Maret 2019, berikut adalah dokumentasi saat ini:
-C
:
.BI \-C " file_size"
Before writing a raw packet to a savefile, check whether the file is
currently larger than \fIfile_size\fP and, if so, close the current
savefile and open a new one. Savefiles after the first savefile will
have the name specified with the
.B \-w
flag, with a number after it, starting at 1 and continuing upward.
The units of \fIfile_size\fP are millions of bytes (1,000,000 bytes,
not 1,048,576 bytes).
-G
:
.BI \-G " rotate_seconds"
If specified, rotates the dump file specified with the
.B \-w
option every \fIrotate_seconds\fP seconds.
Savefiles will have the name specified by
.B \-w
which should include a time format as defined by
.BR strftime (3).
If no time format is specified, each new file will overwrite the previous.
Whenever a generated filename is not unique, tcpdump will overwrite the
preexisting data; providing a time specification that is coarser than the
capture period is therefore not advised.
.IP
If used in conjunction with the
.B \-C
option, filenames will take the form of `\fIfile\fP<count>'.
-W
:
.B \-W
Used in conjunction with the
.B \-C
option, this will limit the number
of files created to the specified number, and begin overwriting files
from the beginning, thus creating a 'rotating' buffer.
In addition, it will name
the files with enough leading 0s to support the maximum number of
files, allowing them to sort correctly.
.IP
Used in conjunction with the
.B \-G
option, this will limit the number of rotated dump files that get
created, exiting with status 0 when reaching the limit.
.IP
If used in conjunction with both
.B \-C
and
.B \-G,
the
.B \-W
option will currently be ignored, and will only affect the file name.
Saya masih berpikir itu agak membingungkan, tapi saya kira perbedaan dari kesimpulan saya di atas, adalah bahwa ia mengatakan -W
ketika digunakan dengan -C -G
tidak mempengaruhi apa pun kecuali nama file.
Secara umum, -W
digunakan untuk membatasi jumlah file. Jadi jangan gunakan itu jika Anda ingin menangkap tanpa batas.