[CentOS-es] Métodos para capturar tráfico TCP/IP

[Santi Saez]

Hola,

Quería plantear un pequeño debate para ver que método 
recomendais/utilizais para capturar tráfico para analizarlo posteriormente.

La idea básicamente es logear lo máximo posible utilizando el mínimo 
espacio de disco, preferentemente guardandolo en formato "pcap" para 
analizarlo gráficamente cómodamente con Wireshark :)

Hasta ahora, venía utilizando dumpcap del paquete wireshark, algo tipo:

# dumpcap -i eth1 -w ~pcaps/iscsi.pcap -b filesize:102400 -b files:100

En este ejempo se está trabajando en "anillo" con 100 ficheros de 100MB, 
cuando se llega al fichero número 100 se pasa al número 1 y así 
sucesivamente rotando y dedicando un total de 10GB de espacio.

La idea de trabajar con dumpcap en modo "ring" es muy buena, el problema 
de este método es que la aplicación no tiene (o al menos no conozco) 
ninguna forma de comprimir directamente los ficheros de log que se van 
generando.. y es una pena por que esto permitiría llegar a guardar 10 
veces o mas de datos con el mismo espacio:

# ls -lh iscsi_00001_20090213114245.pcap -> 33M

# bzip2 -9 iscsi_00001_20090213114245.pcap
# ls -lh iscsi_00001_20090213114245.pcap.bz2 -> 3,4M

Se podría preparar algun script/cron para comprimir esos ficheros cada 
cierto tiempo, etc.. pero no queda muy "elegante" o no se me ocurre 
ninguna forma de comprimir tras el cambio de fichero de log..

Si os habeís encontrado con esta situación, ¿Qué método utilizas para 
logear grandes cantidades de tráfico, con dumpcap o alguna otra alternativa?

Saludos!

-- 
Santi Saez
http://woop.es