Manchmal treten Probleme im Netzwerk nur gelegentlich auf und man will dann zeitlich zurückschauen können. Mit TCPDUMP lässt einfach der Netzwerkverkehr sehr granular aufzeichnen. tcpdump ist teilweise auf Netzwerkgeräten direkt verfügbar oder kann über einen gespiegelten Interface-Port oder ein „network tap“ transparent mitgelesen werden.

Um nicht zu große Dump-Files zu erzeugen kann man die „Capture Size“ pro Paket reduzieren. Oft reichen die Header informationen. Hier ein Beispiel:

tcpdump -ni eth2 -s 96 -C 2000 -W 15 -w /tmp/filename.pcap

Die Parameter:

-n ... keine DNS Auflösung (kostet Zeit)
-i ... Interface 
-s ... Aufgezeichnete Paket Info (96 reicht für die TCP/IP Header)
-C ... max. Größe des Files
-W ... Anzahl der erstellen Files
-w ... Dateiname
%d Bloggern gefällt das: