Manchmal treten Probleme im Netzwerk nur gelegentlich auf und man will dann zeitlich zurückschauen können. Mit TCPDUMP lässt einfach der Netzwerkverkehr sehr granular aufzeichnen. tcpdump ist teilweise auf Netzwerkgeräten direkt verfügbar oder kann über einen gespiegelten Interface-Port oder ein „network tap“ transparent mitgelesen werden.

Um nicht zu große Dump-Files zu erzeugen kann man die „Capture Size“ pro Paket reduzieren. Oft reichen die Header informationen. Hier ein Beispiel:

tcpdump -ni eth2 -s 96 -C 2000 -W 15 -w /tmp/filename.pcap

Die Parameter:

-n ... keine DNS Auflösung (kostet Zeit)
-i ... Interface 
-s ... Aufgezeichnete Paket Info (96 reicht für die TCP/IP Header)
-C ... max. Größe des Files
-W ... Anzahl der erstellen Files
-w ... Dateiname
Categories: IT-AnalyticsNetwork

2 Comments

merlin · 26.01.2014 at 20:46

Danke für den tollen Beitrag. Genau sowas suche ich schon seit ein paar Wochen – deswegen freue ich mich auch über den Zeitpuntk des Posts.

Mir kommt „-C 2000“ sehr wenig vor. Ich gehe davon aus, dass -C in Bytes angegeben wird. Dann sind 2000 Bytes ungefähr 0,002 MB. Oder liege ich da falsch?

Was ist denn die größte sinnvolle pcap-Size? Beim auswerten sind wenige große Dateien vermutlich schöner, als viele kleine. Richtig?

Danke und Grüße,
merlin

    admin · 04.02.2014 at 15:04

    Der tcpdump wurde unter RHEL6 bzw CentOS6 ausgeführt und da ist „-C“ in Mbyte anzugeben.
    “ -C Before writing a raw packet to a savefile, check whether the file is currently larger than file_size and, if
    so, close the current savefile and open a new one. Savefiles after the first savefile will have the name
    specified with the -w flag, with a number after it, starting at 1 and continuing upward. The units of
    file_size are millions of bytes (1,000,000 bytes, not 1,048,576 bytes).“

    Ich versuche Files immer kleiner als 2GB zu halten. So gibt’s keine Probleme mit Filesystemen, wenn ein Copy-Job abbricht muss man nicht von vorne beginnen und andere Analyzer-Tools kommen mit der Größe auch gut zurecht. Aber es stimmt: Wenige große Files sind angenehmer beim Auswerten. Ich würde sagen es ist Geschmacksache 😉

Comments are closed.

%d Bloggern gefällt das: