Dumpcap是Wireshark套件中的命令行网络数据包捕获工具,本身不直接生成传统意义上的“日志文件”(如文本日志),其主要功能是将捕获的网络流量保存为二进制格式的.pcap或.pcapng文件(如capture.pcap)。这些文件包含了完整的网络数据包信息(如以太网帧、IP头、传输层协议、应用层数据等),是后续分析网络活动的核心素材。
使用Dumpcap捕获流量时,通过-w参数指定输出文件路径即可生成日志文件。常用命令示例:
capture.pcap:sudo dumpcap -i any -w capture.pcap
eth0)流量,限制文件大小(100MB/个)、持续时间(1小时/个),并自动分割文件:sudo dumpcap -i eth0 -C 100 -G 3600 -w capture_%Y%m%d_%H%M%S.pcap
%Y%m%d_%H%M%S为时间戳格式,便于按时间归档文件。/var/log/dumpcap/(需手动创建),便于统一管理:sudo mkdir -p /var/log/dumpcap
sudo chown root:root /var/log/dumpcap # 设置所有权
sudo chmod 0755 /var/log/dumpcap # 设置权限
logrotate工具自动压缩、删除旧日志,避免磁盘空间耗尽。创建配置文件/etc/logrotate.d/dumpcap,内容如下:/var/log/dumpcap/*.pcap {
daily # 每天轮转
rotate 7 # 保留最近7天
compress # 压缩旧日志(如.gz格式)
missingok # 文件丢失不报错
notifempty # 空文件不轮转
delaycompress # 延迟压缩(如当天日志不压缩)
}
使用Wireshark(图形化工具)打开.pcap文件,可实现以下高级分析:
tcp.port == 80表示HTTP流量,ip.addr == 192.168.1.100表示特定IP的流量),或在“Find Packet”功能中搜索关键字(如“ERROR”“password”)。使用Tshark(Wireshark的命令行版本)可实现快速过滤和信息提取,适合自动化脚本处理:
tshark -r capture.pcap
tshark -r capture.pcap 'http.request.method == GET' # 仅显示HTTP GET请求
tshark -r capture.pcap -T fields -e frame.number -e ip.src -e ip.dst -e tcp.port # 提取帧号、源IP、目的IP、端口
tshark -r capture.pcap > output.txt)。由于Dumpcap需要访问网络接口(底层驱动),普通用户无法直接运行,需完成以下权限设置:
sudo gpasswd -a your_username wireshark # 替换your_username为实际用户名
sudo chgrp wireshark /usr/bin/dumpcap # 修改所属组为wireshark
sudo chmod 4755 /usr/bin/dumpcap # 设置SUID位(所有者可执行,同组用户可执行)
dumpcap命令捕获流量(无需每次用sudo)。tcp、udp)限制捕获范围,或使用-s 0(捕获完整数据包)时缩小捕获时间窗口。logrotate或手动删除),避免磁盘空间不足导致系统故障。