Ngrep multiple pcaps

Ich benutze Moloch für einen NDR und habe es in 10G pcaps speichern, unnötig zu sagen, es gibt viele. Wenn ich versuche, bestimmte Daten von den Pcaps über ngrep zu analysieren, kann ich nur einen nach dem anderen analysieren. Wenn ich eine einfache ngrep mit Platzhalter verwende, bekomme ich pcap compile: Syntaxfehler.Ngrep multiple pcaps

ngrep -I /data/moloch/raw/*.pcap -W none 'host 192.168.0.101' -O /data/moloch/parsed.pcap

wenn ich

verwenden

for file in ls -1 /data/moloch/raw/*.pcap' do nice -n 10 ngrep -O /data/moloch/parsed.pcap -W none 'host 192.168.0.101' done

es wirft einen erwarteten "do" Befehl auf. Entschuldigung ich bin sicher, dass es eine einfache Frage ist, aber ich fange gerade an, Linux zu benutzen und JEDE Hilfe, die ich sehr dankbar sein werde.

Quelle

2016-03-23 Problematiq

Sie sollten wahrscheinlich "Fixed, Created a scrip und das sind die Änderungen." und die Befehle danach aus deiner Frage und füge alles in eine Antwort ein, so dass andere Leute, die nach einer Antwort auf diese Frage suchen, sehen, dass sie beantwortet wird. –

Vielen Dank. – Problematiq

Das Problem wurde behoben!

cd /data/moloch/raw 
for file in `ls -1 *.pcap` 
do 
    nice -n 10 ngrep -I $file -q ip host 192.168.0.101 -O /data/moloch/save/$file 
done

Wäre es die Tatsache, eine pcap-Datei durch für jede Datei lesen haben, schreiben Sie nicht über die Pipeline die Ausgabe in ein PCAP-Format können, und ich habe es in diesem Format haben. Also keine vorhandenen Dateien anhängen. Wenn alles gesagt und getan ist, werde ich alle pcaps ohne Daten entfernen, dann mergecap verwenden und 1 pcap erstellen.

Quelle

2016-03-23 21:39:46 Problematiq

Antwort

Verwandte Themen