Сплит файлы pcap автоматически, хотя tcpdump

Question

Я хотел бы выполнить tcpdump, который генерирует новый файл после одного 2 ГБ файла.
Насколько я знаю из другого сообщения, невозможно создать файлы размером более 2 ГБ.
Это ТСРйитр я сейчас смотрю на:

tcpdump -C 100 -W 2048 -w /tmp/example.pcap 

Он должен создать новый PCAP файл (example.pcap00, example.pcap01) каждый 2 Гб, но это не делает. Наверное, потому что я пытаюсь записать его на внешний диск. Поэтому я думаю, что мне нужно создать файлы, прежде чем писать в него данные tcpdump.
Как я могу это сделать?
Он должен создавать новые файлы с объемом данных 2GB pcap до тех пор, пока 1TB HD не будет заполнен. Поэтому я не могу использовать параметр -C, потому что я не знаю, сколько мне нужно заранее.
Каков наилучший способ решить проблему?

Answer 1

Насколько я знаю из другого сообщения, невозможно создать файлы размером более 2 ГБ.

Это зависит от операционной системы, на которой вы работаете, независимо от того, работаете ли вы на 64-разрядной машине (для некоторых ОС, для OS X и BSD это не имеет значения), версия libpcap tcpdump, и как эта версия libpcap была построена.

tcpdump -C 100 -W 2048 -w /tmp/example.pcap 

Что означает «изменить файл, который вы пишете, когда файл становится больше, чем 100 миллионов байт, и не имеют более 2048 файлов». (Нет, -W не определяет максимальный размер файла.)

Он должен создать новый PCAP файл (example.pcap00, example.pcap01) каждый 2 Гб,

Нет, каждые 100 миллионов байт. Прочтите тонкую страницу руководства.

но это не так. Наверное, потому что я пытаюсь записать его на внешний диск.

Почему внешний диск должен быть связан с этим?

Если «это не так», означает ли это, что «он не создает новые файлы, он просто записывает старый файл» или «он сообщает об ошибке и завершает работу после записи в первый файл»? Если это последний, вы можете увидеть ответ this question.