Automatisieren der Dateirotation in Tshark

Einführung

In diesem Lab lernen Sie, die Dateirotation in Tshark mithilfe des dumpcap-Tools von Wireshark zu automatisieren, um die Paketerfassung effizient zu verwalten. Sie konfigurieren sowohl die größenbasierte Rotation (1 MB Limit mit -b filesize:1000) als auch die zählbasierte Rotation (5-Datei-Limit mit -b files:5), um den Speicherplatz während der Netzwerkanalyse zu optimieren.

Das Lab führt Sie durch die Erfassung von Netzwerkverkehr auf der Schnittstelle eth0 mit Rotationsparametern und die anschließende Überprüfung der Ausgabedateien. Diese Techniken helfen, die Paketerfassungen organisiert zu halten und eine Überlastung des Speichers während längerer Überwachungsperioden zu vermeiden.

Festlegen einer Dateigröße von 1 MB mit -b filesize:1000

In diesem Schritt konfigurieren Sie das Paketerfassungstool dumpcap von Wireshark so, dass es automatisch neue Dateien erstellt, wenn die Erfassung eine Größe von 1 MB erreicht. Diese Technik wird als Dateirotation bezeichnet und hilft, den Speicherplatz zu verwalten, indem verhindert wird, dass einzelne Erfassungsdateien zu groß werden.

Der Parameter -b filesize: steuert dieses Verhalten, indem er die maximale Dateigröße in Kilobyte (KB) angibt. Da 1000 KB ungefähr 1 MB entsprechen, wird mit dieser Einstellung jedes Mal eine neue Datei erstellt, wenn die aktuelle Erfassung diese Größe erreicht. Dies ist besonders nützlich für lang andauernde Erfassungen, bei denen Sie die Dateigrößen überschaubar halten möchten.

Lassen Sie uns den Einrichtungsprozess Schritt für Schritt durchgehen:

1. Öffnen Sie zunächst ein Terminal in Ihrer LabEx-Virtual Machine, wenn Sie dies noch nicht getan haben. Im Terminal führen wir alle unsere Befehle aus.

2. Bevor wir die Erfassung starten, müssen wir sicherstellen, dass wir im richtigen Arbeitsverzeichnis sind. Führen Sie diesen Befehl aus, um in den Projektordner zu navigieren:

   cd ~/project

3. Jetzt starten wir die Paketerfassung mit unserer Größenbegrenzung. Führen Sie diesen Befehl in Ihrem Terminal aus:

   sudo dumpcap -i eth0 -b filesize:1000 -w capture.pcapng

   Lassen Sie uns analysieren, was jeder Teil dieses Befehls tut:

   • sudo gibt uns die administrativen Rechte, die für die Paketerfassung erforderlich sind.
   • dumpcap ist das Befehlszeilentool von Wireshark zur Paketerfassung.
   • -i eth0 teilt dumpcap mit, auf der Netzwerkschnittstelle eth0 zu lauschen.
   • -b filesize:1000 legt unsere Rotationsschwelle von 1 MB fest.
   • -w capture.pcapng gibt den Basisdateinamen für unsere Ausgabe an.

Die Erfassung wird kontinuierlich in Ihrem Terminal ausgeführt. Wenn sie etwa 1 MB an Daten gesammelt hat, werden Sie bemerken, dass das System automatisch eine neue Datei mit einer aufsteigenden Nummer erstellt (z. B. capture_00001.pcapng), während die ursprüngliche Datei capture.pcapng als aktive Datei beibehalten wird. Diese Rotation erfolgt nahtlos im Hintergrund.

Begrenzung auf 5 Dateien mit -b files:5

In diesem Schritt werden wir untersuchen, wie Sie die Anzahl der von Wireshark's dumpcap-Tool erstellten Paketerfassungsdateien kontrollieren können. Wenn Sie Netzwerkverkehr über längere Zeiträume erfassen, ist es wichtig, den Speicherplatz zu verwalten, indem Sie sowohl die Dateigrößen als auch die Gesamtzahl der Dateien begrenzen.

Der Parameter -b files: ermöglicht es Ihnen, eine maximale Anzahl an rotierten Erfassungsdateien festzulegen. Wenn dieser Parameter mit -b filesize aus unserer vorherigen Lektion kombiniert wird, entsteht ein effizientes Rotationssystem, bei dem:

• Neue Dateien erstellt werden, wenn die aktuelle Datei die Größengrenze erreicht.
• Nur die angegebene Anzahl von Dateien aufbewahrt wird.
• Die älteste Datei überschrieben wird, wenn die Grenze erreicht ist.

Lassen Sie uns dies anhand eines praktischen Beispiels umsetzen, bei dem wir die Anzahl der Dateien auf 5 begrenzen:

1. Stoppen Sie zunächst alle laufenden Erfassungen aus früheren Übungen, indem Sie in Ihrem Terminalfenster Ctrl+C drücken. Dadurch stellen wir sicher, dass wir von vorne beginnen.

2. Navigieren Sie in unser Arbeitsverzeichnis, in dem wir die Erfassungsdateien speichern werden. Führen Sie aus:

   cd ~/project

3. Führen Sie jetzt den Erfassungsbefehl mit sowohl Größen- als auch Anzahlbegrenzungen aus:

   sudo dumpcap -i eth0 -b filesize:1000 -b files:5 -w capture.pcapng

   Analyse des Befehls:

   • -i eth0 erfasst vom primären Netzwerkschnittstelle.
   • -b filesize:1000 begrenzt jede Datei auf 1000 Kilobyte (1 MB).
   • -b files:5 hält genau 5 rotierende Dateien aufrecht.
   • -w capture.pcapng legt das Muster für den Basisdateinamen fest.

Während die Erfassung läuft, werden Sie Dateien mit den Namen capture_00001.pcapng, capture_00002.pcapng usw. sehen. Das System wird diese Dateien automatisch verwalten, nur die 5 neuesten Dateien aufbewahren und den Speicherplatz effizient nutzen.

Starten der Erfassung mit -i eth0

In diesem Schritt beginnen Sie mit der Erfassung von Netzwerkverkehr auf der eth0-Schnittstelle mithilfe des dumpcap-Tools von Wireshark. Hier beginnt die praktische Netzwerkanalyse – indem Sie echte Paketdaten von Ihrer Netzwerkverbindung sammeln.

Der Teil -i eth0 teilt dumpcap mit, welche Netzwerkschnittstelle überwacht werden soll. Auf den meisten Linux-Systemen repräsentiert eth0 Ihre primäre kabelgebundene Ethernet-Verbindung. Stellen Sie sich das wie das Auswählen eines Mikrofons beim Aufnehmen von Sound vor – hier wählen wir, welches Netzwerk-„Ohr“ wir benutzen möchten. Wir werden dies mit den Dateirotationseinstellungen kombinieren, die Sie zuvor gelernt haben, um eine vollständige, automatisierte Erfassungslösung zu erstellen.

Lassen Sie uns den Prozess Schritt für Schritt durchgehen:

1. Navigieren Sie zunächst in Ihr Arbeitsverzeichnis. Dadurch wird sichergestellt, dass alle erfassten Dateien am richtigen Ort gespeichert werden:

   cd ~/project

2. Führen Sie jetzt den Erfassungsbefehl aus. Dieser macht mehrere Dinge gleichzeitig:

   • -i eth0 überwacht die eth0-Schnittstelle.
   • -b filesize:1000 begrenzt jede Erfassungsdatei auf 1000 Kilobyte.
   • -b files:5 behält maximal 5 rotierende Dateien.
   • -w capture.pcapng legt den Basisdateinamen für die Ausgabe fest.

   sudo dumpcap -i eth0 -b filesize:1000 -b files:5 -w capture.pcapng

3. Bei Erfolg werden Sie Live-Statistiken sehen, die Folgendes anzeigen:

   • Der Name der aktuellen Erfassungsdatei.
   • Die Anzahl der erfassten Pakete.
   • Eventuelle Pakete, die möglicherweise verpasst wurden.

   File: capture_00001.pcapng
   Packets captured: 42
   Packets received/dropped on interface eth0: 42/0 (100.0%)

Die Erfassung wird kontinuierlich ausgeführt, bis Sie sie mit Ctrl+C stoppen. In dieser Zeit wird sie die Dateirotation automatisch gemäß Ihren Einstellungen verwalten, indem neue Dateien erstellt werden, wenn sie die Größengrenze erreichen, und dabei immer genau 5 Dateien aufrecht erhält.

Prüfen der Dateien mit ls/dir

In diesem Schritt werden Sie die von Wireshark's dumpcap-Tool erstellten Paketerfassungsdateien überprüfen. Dieser Überprüfungsprozess ist von entscheidender Bedeutung, da er es Ihnen ermöglicht, zwei wichtige Aspekte Ihrer Netzwerkerfassungseinrichtung zu bestätigen: dass die Dateirotation wie konfiguriert funktioniert und dass die Erfassungsdateien ordnungsgemäß gespeichert werden.

Wenn Sie mit Tshark's Dateirotationsfunktion arbeiten, wird der ls-Befehl (oder dir unter Windows) zu Ihrem wichtigsten Werkzeug zur Inspektion der Ausgabe. Dieser Befehl listet den Inhalt eines Verzeichnisses in Linux/Unix-Systemen auf, und wir werden ihn speziell verwenden, um die Erfassungsdateien in Ihrem Projektverzeichnis zu untersuchen.

Sie werden drei Schlüsselmerkmale Ihrer Erfassungsdateien prüfen:

1. Existenz: Vergewissern Sie sich, dass tatsächlich Erfassungsdateien erstellt werden.
2. Größe: Bestätigen Sie, dass die Dateien jeweils ungefähr 1 MB groß sind (wie in Schritt 1 mit der -b filesize-Option angegeben).
3. Anzahl: Stellen Sie sicher, dass nicht mehr als 5 Dateien existieren (wie in Schritt 2 mit dem -b files-Parameter begrenzt).

So überprüfen Sie Ihre Erfassungsdateien richtig:

1. Zunächst müssen Sie alle derzeit laufenden Erfassungsprozesse stoppen. Drücken Sie in Ihrem Terminal, in dem Tshark läuft, Ctrl+C, um die Erfassung ordnungsgemäß zu beenden. Dadurch wird sichergestellt, dass während der Inspektion keine Dateien aktiv beschrieben werden.

2. Listen Sie nun alle Erfassungsdateien in Ihrem Projektverzeichnis mit detaillierten Informationen auf. Die -lh-Optionen geben Ihnen ein menschenlesbares Format mit Dateigrößen in MB/GB:

   ls -lh ~/project/capture*.pcapng

3. Sie sollten eine Ausgabe ähnlich der folgenden sehen, die mehrere ordnungsgemäß dimensionierte Erfassungsdateien anzeigt:

   -rw-r--r-- 1 root root 1.0M Mar 1 10:15 capture_00001.pcapng
   -rw-r--r-- 1 root root 1.0M Mar 1 10:16 capture_00002.pcapng
   -rw-r--r-- 1 root root 1.0M Mar 1 10:17 capture_00003.pcapng

4. Um schließlich zu überprüfen, dass die Dateianzahlbegrenzung funktioniert, führen Sie diesen Befehl aus, um Ihre Erfassungsdateien zu zählen. Die -1-Option bringt jede Datei in eine eigene Zeile, und wc -l zählt diese Zeilen:

   ls -1 ~/project/capture*.pcapng | wc -l

   Die Ausgabe sollte 5 oder weniger sein, was bestätigt, dass die Dateirotation die Anzahl der aufbewahrten Dateien richtig begrenzt.

Zusammenfassung

In diesem Lab haben Sie gelernt, die Dateirotation in Tshark mithilfe des dumpcap-Tools von Wireshark zu automatisieren. Die Schlüsseltechniken umfassten das Setzen von Dateigrößenlimits mit -b filesize:1000 und die Kontrolle der Dateianzahl mit -b files:5, um die Speicherverwaltung zu optimieren.

Die praktische Übung hat gezeigt, wie diese Parameter mit der Schnittstellenauswahl (-i eth0) und der Ausgabeangabe (-w) implementiert werden können, gefolgt von Überprüfungsschritten. Diese Methode gewährleistet eine effiziente Paketerfassung bei gleichzeitiger Organisation der Dateirotation und Kontrolle des Speichers.