Ngrep multiple pcaps

Я использую Moloch для NDR и сохранил его в 10G pcaps, разумеется, что есть много. Когда я пытаюсь разобрать определенные данные из pcaps через ngrep, он только позволяет мне разобрать по одному. Если я использую простой ngrep с подстановочным знаком, я получаю компиляцию pcap: синтаксическая ошибка.Ngrep multiple pcaps

ngrep -I /data/moloch/raw/*.pcap -W none 'host 192.168.0.101' -O /data/moloch/parsed.pcap

, если я использую

for file in ls -1 /data/moloch/raw/*.pcap' do nice -n 10 ngrep -O /data/moloch/parsed.pcap -W none 'host 192.168.0.101' done

он бросает команду ожидаемый "сделать". извините, я уверен, что это простой вопрос, но я только начинаю использовать Linux и ЛЮБОЙ помощи, я буду очень благодарен.

источник

2016-03-23 Problematiq

Возможно, вы должны удалить «Исправлено, Создано скрипт, и это изменения». и команды после него из вашего вопроса, и вставьте все это в ответ, чтобы другие люди, которые искали ответ на этот вопрос, увидели, что он ответил. –

спасибо, что сделаете. – Problematiq

Исправлена ошибка!

cd /data/moloch/raw 
for file in `ls -1 *.pcap` 
do 
    nice -n 10 ngrep -I $file -q ip host 192.168.0.101 -O /data/moloch/save/$file 
done

бы, чтобы он написать файл PCAP для каждого чтения файла из-за того, вы не можете направить вывод в формате PCAP, и я должен иметь его в этом формате. Таким образом, не добавляются существующие файлы. , когда все сказано и сделано, я удалю все pcaps без данных, затем используйте mergecap и создайте 1 pcap.

источник

2016-03-23 21:39:46 Problematiq

ответ

Смежные вопросы