0

我将 Moloch 用于 NDR,并将其保存在 10G pcaps 中,不用说还有很多。当我尝试通过 ngrep 解析来自 pcaps 的某些数据时,它只能让我一次解析一个。如果我使用带有通配符的简单 ngrep,我会得到 pcap compile: syntax error。

ngrep -I /data/moloch/raw/*.pcap -W none 'host 192.168.0.101' -O /data/moloch/parsed.pcap

如果我使用 

for file in ls -1 /data/moloch/raw/*.pcap' do nice -n 10 ngrep -O /data/moloch/parsed.pcap -W none 'host 192.168.0.101' done

它抛出了一个预期的“do”命令。抱歉,我确定这是一个简单的问题,但我刚刚开始使用 linux,任何帮助我都会非常感激。

4

1 回答 1

0

修复了问题!

cd /data/moloch/raw
for file in `ls -1 *.pcap`
do
   nice -n 10 ngrep -I $file -q ip host 192.168.0.101 -O /data/moloch/save/$file
done

必须让它为每个读取文件编写一个 pcap 文件,因为您无法将输出通过管道传输为 pcap 格式,而我必须将其设为该格式。所以没有附加现有文件。当一切都说完了,我将删除所有没有数据的 pcap,然后使用 mergecap 并创建 1 个 pcap。

于 2016-03-23T21:39:46.500 回答