1、写一个定时tcpdump抓包的sh脚本,方便我们对一些定时的任务数据分析包情况脚本代码放到了下面,给大家说明下里面参数
HOST:抓包过滤主机IP地址
PORT:抓包过滤端口(不需要可以注释掉)
INTERFACE:抓包网卡,any指的是所有网卡,也可指定网卡如:ens1,eth0之类
DURATION:抓包时长300S
OUTPUT_DIR:抓包文件保存路径/data
LOG_FILE:抓包脚本操作日志保存路径/var/log/tcpdump_pcap.log
只需要根据需求修改上述参数就可以,其他的可不用动
bash
#!/bin/bash
HOST="192.168.10.1"
PORT="1468"
INTERFACE="any"
DURATION=300 #5分钟
OUTPUT_DIR="/data"
LOG_FILE="/var/log/tcpdump_pcap.log"
TIMESTAMP=$(date '+%Y%m%d_%H%M%S')
OUTPUT_FILE="${OUTPUT_DIR}/pcap_${TIMESTAMP}.pcap"
#开始时间
echo "$(date '+%Y-%m-%d %H:%M:%S') - 开始抓包: host $HOST port $PORT" >> $LOG_FILE
# 执行tcpdump5分钟
timeout $DURATION /usr/sbin/tcpdump -i $INTERFACE host $HOST and port $PORT -vv -w $OUTPUT_FILE
# 检查命令执行结果
if [ $? -eq 0 ]; then
echo "$(date '+%Y-%m-%d %H:%M:%S') - 抓包完成: $OUTPUT_FILE" >> $LOG_FILE
# 获取文件大小
FILE_SIZE=$(du -h $OUTPUT_FILE | cut -f1)
echo "$(date '+%Y-%m-%d %H:%M:%S') - 文件大小: $FILE_SIZE" >> $LOG_FILE
else
echo "$(date '+%Y-%m-%d %H:%M:%S') - 抓包失败或超时" >> $LOG_FILE
fi2、我们创建好tcpdump_pcap.sh脚本就可以创建我们的定时任务了
bash
crontab -e添加定时任务如下每天凌晨5点开始执行抓包脚本,可以根据需求自行修改前面时间(0 5 * * *),时间不知道怎么写可以百度例:(crontab每小时执行一次时间格式)
bash
0 5 * * * bash /root/tcpdump_pcap.sh