Hola,
Quería plantear un pequeño debate para ver que método recomendais/utilizais para capturar tráfico para analizarlo posteriormente.
La idea básicamente es logear lo máximo posible utilizando el mínimo espacio de disco, preferentemente guardandolo en formato "pcap" para analizarlo gráficamente cómodamente con Wireshark :)
Hasta ahora, venía utilizando dumpcap del paquete wireshark, algo tipo:
# dumpcap -i eth1 -w ~pcaps/iscsi.pcap -b filesize:102400 -b files:100
En este ejempo se está trabajando en "anillo" con 100 ficheros de 100MB, cuando se llega al fichero número 100 se pasa al número 1 y así sucesivamente rotando y dedicando un total de 10GB de espacio.
La idea de trabajar con dumpcap en modo "ring" es muy buena, el problema de este método es que la aplicación no tiene (o al menos no conozco) ninguna forma de comprimir directamente los ficheros de log que se van generando.. y es una pena por que esto permitiría llegar a guardar 10 veces o mas de datos con el mismo espacio:
# ls -lh iscsi_00001_20090213114245.pcap -> 33M
# bzip2 -9 iscsi_00001_20090213114245.pcap # ls -lh iscsi_00001_20090213114245.pcap.bz2 -> 3,4M
Se podría preparar algun script/cron para comprimir esos ficheros cada cierto tiempo, etc.. pero no queda muy "elegante" o no se me ocurre ninguna forma de comprimir tras el cambio de fichero de log..
Si os habeís encontrado con esta situación, ¿Qué método utilizas para logear grandes cantidades de tráfico, con dumpcap o alguna otra alternativa?
Saludos!