キャプチャフィルタPCAP - ファイルサイズを減らすためにIPアドレスをフィルタリングする

Question

現在、データセンター内のマシンに転送されるトラフィックがあります。このマシンには、このトラフィックをすべて捕捉するPCAPスクリプトがあります。 X期間後、ファイルは7 zipを使用して圧縮され、ファイルをできるだけ小さくします。

現時点での作業フローでは、データセンターから直接ファイルを収集し、分析のために作業機械にアップロードします。私たちは、データセンター以外のネットワーク上の別のマシンにアクセスし、ネットワーク経由でファイルを収集したいと考えています。唯一の問題は、PCAPがこの転送をファイルに含めるということです。圧縮されているため、ファイルのサイズがバルーンになり、サブ10 MBから80 MB +になります。

すべてのネットワークトラフィックを収集することが重要です。キャプチャする必要があるすべての接続を指定するのではなく、これら2つのマシン間の転送を除外したいと考えていました。

私が追加してみました：

を「-fは、SRCネット10.213.121.13はない」 スクリプトに 「-fは10.213.121.13をホストしてい」が、両方のケースでは、構文の問題について訴えました。どのようにこれを達成するための任意のアイデアをいただければ幸いです。

スクリプト：

dumpcap -i1 -bファイルサイズ：100000のファイル：200 -fないSRCネット10.213.121.13 -w C：\ WIRESHARK_LOGSの\ log_dumpcap

Answer 1

問題はdumpcapが必要なことです引用符で囲むことができるTCPDumpとは異なり、フィルタ式は引用符で囲まれます（または、BPFフィルタやその他のシェルで消化された文字が含まれている場合は引用符が必要です）。

dumpcap -i1 -b filesize:100000 files:200 -f 'not src host 10.213.121.13' -w C:\WIRESHARK_LOGS\log_dumpcap 

は、しかし、私はあなたがファイルを転送するためにTCPを使用することを想定しています：あなたはそれを求めているように、次はあなたの問題を解決する必要があります。そのような場合、あなたは本当に、どちらかのACKパケットを望んでいない：

dumpcap -i1 -b filesize:100000 files:200 -f 'not host 10.213.121.13' -w C:\WIRESHARK_LOGS\log_dumpcap 

を私はあなたがより多くを見直すことをおすすめしますことを、しかし、お勧めします。転送に使用されているポートを指定して、10.213.121.13ボックスの内外にある他のすべてのトラフィックに自分自身を混乱させないようにすることをお勧めします。