Ubuntu Dumpcap 数据包保存时长控制
核心结论
dumpcap 本身没有“固定能保存多久”的限制,保存时长完全由你设置的文件大小、时间轮转与停止条件决定。只要磁盘空间充足、进程未被终止,捕获可以持续进行;当达到你设定的任一限制(如单个文件大小、按时间切分、按文件数量环形缓冲、按包数或按总时长停止)时,就会停止或切分文件。
常用控制参数
- 按时间切分文件:使用 -G seconds(每 N 秒新建一个文件)。可配合 -b files:N 做环形缓冲,保留最近 N 个文件。示例:每 600 秒轮转,保留最近 24 个文件。
- 按文件大小切分:使用 -b filesize:N(单位 kB),单个文件达到 N kB 后自动新建文件。示例:每 100 MB 一个文件。
- 按包数切分:使用 -C N(每个文件最多 N 个包)。示例:每 10000 个包一个文件。
- 按总时长停止:使用 -a duration:N(捕获 N 秒后自动停止)。示例:持续 3600 秒后停止。
- 按总包数停止:使用 -c N 或 -a packet:N(捕获 N 个包后停止)。示例:抓到 1,000,000 个包后停止。
- 环形缓冲示例:-b duration:3600 -b files:100(每小时轮转,最多保留 100 个文件,超出后覆盖最旧文件)。
以上参数可组合使用,实现“按时间/大小/数量”的自动切分与自动停止。
快速示例
- 每 10 分钟轮转一个文件,最多保留最近 24 个文件:
sudo dumpcap -i eth0 -w /data/cap.pcapng -G 600 -b files:24
- 每 100 MB 一个文件,抓到 1,000,000 个包后停止:
sudo dumpcap -i eth0 -w /data/cap.pcapng -b filesize:102400 -c 1000000
- 持续 1 小时捕获后自动停止:
sudo dumpcap -i eth0 -w /data/cap.pcapng -a duration:3600
注意事项
- 单个文件大小上限为 2 GiB(约 2,097,152 KiB);达到上限会自动新建文件。
- 使用环形缓冲(如 -b files:N)时,文件数量达到上限后会覆盖最旧文件,避免磁盘被占满。
- 长时间运行请关注磁盘空间与系统权限(通常需要 sudo 才能抓包)。
