Linux Sniffer(如Wireshark、tcpdump)主要用于捕获网络数据包,可间接辅助日志分析,具体方法如下:
捕获网络数据包
tcpdump或Wireshark在网络接口抓取数据包,保存为.pcap文件。sudo tcpdump -i eth0 -w capture.pcap(捕获eth0接口流量并保存)。分析数据包内容
Wireshark打开.pcap文件,通过过滤器(如ip.src、tcp.port)定位特定流量,查看源/目标IP、端口、协议等字段。tshark解析数据包,如tshark -r capture.pcap显示详细内容。关联系统日志
journalctl(如journalctl -u nginx查看Nginx日志)或cat/grep命令处理/var/log目录下的日志文件。注意:Sniffer抓取的网络数据包可能包含敏感信息,需遵守隐私法规,仅限授权场景使用。
