我使用Moloch进行NDR,并将其保存在10G pcaps中,不用说还有很多。当我试图通过ngrep解析来自pcaps的某些数据时,它只允许我一次解析一个。如果我使用带通配符的简单ngrep,则得到pcap compile:syntax error。
ngrep -I /data/moloch/raw/*.pcap -W none 'host 192.168.0.101' -O /data/moloch/parsed.pcap
如果我用
for file in ls -1 /data/moloch/raw/*.pcap' do nice -n 10 ngrep -O /data/moloch/parsed.pcap -W none 'host 192.168.0.101' done
它抛出了一个预期的“do”命令。抱歉,我确定这是一个简单的问题,但我刚刚开始使用linux和任何帮助我将非常伟大。
最佳答案
解决了这个问题!
cd /data/moloch/raw
for file in `ls -1 *.pcap`
do
nice -n 10 ngrep -I $file -q ip host 192.168.0.101 -O /data/moloch/save/$file
done
必须让它为每一个读取的文件写一个pcap文件,因为你不能将输出转换成pcap格式,我必须用那种格式。因此,不添加现有文件。
当这一切都说了做了,我将删除所有没有数据的pcap,然后使用mergecap并创建1个pcap。
关于linux - Ngrep多个pcap,我们在Stack Overflow上找到一个类似的问题:https://stackoverflow.com/questions/36183286/