Ubuntu Dumpcap日志文件如何查看与分析

Dumpcap日志查看与分析在Ubuntu上的实践

一、先明确 dumpcap 的输出类型

• dumpcap 是 Wireshark 的命令行抓包引擎，默认只把网络数据包写入 .pcap/.pcapng 捕获文件，不会自动生成独立的“日志文件”。如需记录运行信息，通常通过 -v/-vv（verbose）输出到控制台，或由外部用 journalctl、服务脚本重定向来持久化。若需要系统级审计或运行记录，可结合 syslog/journald 或自定义日志文件实现。

二、查看运行日志与进程信息

• 查看进程与资源
  • 进程是否存在：ps aux | grep dumpcap
  • 资源占用：top -p $(pgrep dumpcap) 或 htop -p $(pgrep dumpcap)
• 查看系统日志
  • 实时查看：sudo journalctl -f -u dumpcap（若以服务运行）
  • 历史记录：sudo journalctl -u dumpcap -b
  • 内核/系统日志：sudo tail -n 200 /var/log/syslog | grep -i dumpcap
• 控制台输出（临时开启详细日志）
  • 示例：dumpcap -i eth0 -w capture.pcap -v（加 -v/-vv 提高详细度，输出到终端而非文件）
• 权限与组（首次使用抓包常需将用户加入 wireshark 组）
  • sudo usermod -aG wireshark $USER && newgrp wireshark
  • 验证：groups $USER（出现 wireshark 组即可）
    以上方法可确认抓包是否成功、权限是否到位、是否有报错信息。

三、分析捕获文件 pcap/pcapng

• 快速查看包概要
  • 读取文件头与统计：capinfos capture.pcap
  • 列出前几包概要：tshark -r capture.pcap -c 10
• 按条件过滤与导出
  • 仅看 HTTP 流量：tshark -r capture.pcap -Y "http" -T fields -e frame.number -e ip.src -e ip.dst -e http.host -e http.request.method -e http.request.uri
  • 导出特定主机对：tshark -r capture.pcap -Y "ip.addr==192.168.1.100" -w host100.pcap
• 实时捕获并分析
  • 实时显示 HTTP 请求：tshark -i eth0 -Y "http" -T fields -e frame.number -e ip.src -e http.host -e http.request.method -e http.request.uri
• 分割大文件便于分析
  • 按时间切片（每 60 秒一个文件）：dumpcap -i eth0 -G 60 -W bysec -w cap_%Y-%m-%d_%H-%M-%S.pcap
• 提示
  • grep/cut/awk 适用于文本日志，不能直接用于二进制 .pcap 文件；应使用 capinfos/tshark 等专用工具。

四、实用排查清单

• 接口与权限
  • 接口是否存在：ip link（常见如 eth0/enp0s3/wlan0）
  • 权限是否到位：用户是否在 wireshark 组；若报权限错误，执行 sudo usermod -aG wireshark $USER && newgrp wireshark
• 过滤器语法
  • 抓包过滤用 BPF 语法（放在 -f 后）：如 port 80、tcp port 80 and host example.com
  • 显示过滤用 Wireshark 显示过滤语法（放在 -Y 后）：如 http、dns
• 文件与磁盘
  • 确认写入路径可写且磁盘空间充足：df -h、ls -lh capture*.pcap*
• 服务与日志
  • 若以服务运行，优先用 sudo journalctl -u dumpcap -f 观察启动、权限、接口占用等报错。