私は NDR に Moloch を使用し、10G pcap で保存しています。言うまでもなく、たくさんあります。ngrep を介して pcaps から特定のデータを解析しようとすると、一度に 1 つしか解析できません。ワイルドカードで単純なngrepを使用すると、pcap compile: syntax errorが発生します。
ngrep -I /data/moloch/raw/*.pcap -W none 'host 192.168.0.101' -O /data/moloch/parsed.pcap
私が使用する場合
for file in ls -1 /data/moloch/raw/*.pcap' do nice -n 10 ngrep -O /data/moloch/parsed.pcap -W none 'host 192.168.0.101' done
期待される「do」コマンドをスローします。申し訳ありませんが、それは簡単な質問だと思いますが、私はLinuxを使い始めたばかりで、どんな助けでもとても助かります。