LabEx
Iniciar SesiónÚnete Gratis

Automatización de la Rotación de Archivos en Tshark

WiresharkWiresharkBeginner
Practicar Ahora

💡 Este tutorial está traducido por IA desde la versión en inglés. Para ver la versión original, puedes hacer clic aquí

Introducción

En este laboratorio, aprenderá a automatizar la rotación de archivos en Tshark utilizando la utilidad dumpcap de Wireshark para una gestión eficiente de la captura de paquetes. Configurará tanto la rotación basada en tamaño (límite de 1 MB con -b filesize:1000) como la rotación basada en cantidad (límite de 5 archivos con -b files:5) para optimizar el espacio en disco durante el análisis de la red.

El laboratorio lo guía a través del proceso de capturar tráfico en la interfaz eth1 con parámetros de rotación y luego verificar los archivos de salida. Estas técnicas ayudan a mantener capturas de paquetes organizadas mientras se evita la sobrecarga de almacenamiento durante sesiones de monitoreo prolongadas.

Skills Graph

%%%%{init: {'theme':'neutral'}}%%%% flowchart RL wireshark(("Wireshark")) -.-> wireshark/WiresharkGroup(["Wireshark"]) wireshark/WiresharkGroup -.-> wireshark/interface("Interface Overview") wireshark/WiresharkGroup -.-> wireshark/packet_capture("Packet Capture") wireshark/WiresharkGroup -.-> wireshark/commandline_usage("Command Line Usage") subgraph Lab Skills wireshark/interface -.-> lab-548915{{"Automatización de la Rotación de Archivos en Tshark"}} wireshark/packet_capture -.-> lab-548915{{"Automatización de la Rotación de Archivos en Tshark"}} wireshark/commandline_usage -.-> lab-548915{{"Automatización de la Rotación de Archivos en Tshark"}} end

Establecer un tamaño de archivo de 1MB con -b filesize:1000

En este paso, configurará la utilidad de captura de paquetes dumpcap de Wireshark para que cree automáticamente nuevos archivos cuando la captura alcance un tamaño de 1MB. Esta técnica se llama rotación de archivos y ayuda a gestionar el espacio en disco al evitar que los archivos de captura individuales se vuelvan demasiado grandes.

El parámetro -b filesize: controla este comportamiento al especificar el tamaño máximo del archivo en kilobytes (KB). Dado que 1000KB es aproximadamente igual a 1MB, esta configuración creará un nuevo archivo cada vez que la captura actual alcance ese tamaño. Esto es especialmente útil para capturas de larga duración en las que desea mantener tamaños de archivo manejables.

Vamos a recorrer el proceso de configuración paso a paso:

  1. Primero, abra una terminal en su máquina virtual LabEx si aún no lo ha hecho. La terminal es donde ejecutaremos todos nuestros comandos.

  2. Antes de comenzar la captura, debemos asegurarnos de estar en el directorio de trabajo correcto. Ejecute este comando para navegar a la carpeta del proyecto:

    cd ~/project

  3. Ahora comenzaremos la captura de paquetes con nuestro límite de tamaño. Ejecute este comando en su terminal:

    sudo dumpcap -i eth1 -b filesize:1000 -w capture.pcapng

    Analicemos lo que hace cada parte de este comando:

    • sudo nos otorga los privilegios administrativos necesarios para la captura de paquetes.
    • dumpcap es la herramienta de captura de línea de comandos de Wireshark.
    • -i eth1 le indica a dumpcap que escuche en la interfaz de red eth1.
    • -b filesize:1000 establece nuestro umbral de rotación de 1MB.
    • -w capture.pcapng especifica el nombre de archivo base para nuestra salida.

La captura se ejecutará continuamente en su terminal. Cuando recopile aproximadamente 1MB de datos, notará que el sistema crea automáticamente un nuevo archivo con un número incremental (como capture_00001.pcapng) mientras mantiene el archivo original capture.pcapng como el archivo activo. Esta rotación se produce de forma fluida en segundo plano.

Limitar a 5 archivos con -b files:5

En este paso, exploraremos cómo controlar la cantidad de archivos de captura de paquetes creados por la utilidad dumpcap de Wireshark. Cuando se captura tráfico de red durante períodos prolongados, es importante gestionar el espacio de almacenamiento limitando tanto el tamaño de los archivos como la cantidad total de archivos.

El parámetro -b files: te permite establecer un número máximo de archivos de captura rotados. Cuando se combina con -b filesize de la lección anterior, esto crea un sistema de rotación eficiente en el que:

  • Se crean nuevos archivos cuando el archivo actual alcanza el límite de tamaño.
  • Solo se conserva el número especificado de archivos.
  • El archivo más antiguo se sobrescribe cuando se alcanza el límite.

Implementemos esto con un ejemplo práctico limitando a 5 archivos:

  1. Primero, si tienes alguna captura en curso de ejercicios anteriores, deténla presionando Ctrl+C en la ventana de la terminal. Esto asegura que comenzamos de nuevo.

  2. Navega hasta nuestro directorio de trabajo donde almacenaremos los archivos de captura. Ejecuta:

    cd ~/project

  3. Ahora ejecuta el comando de captura con límites de tamaño y cantidad:

    sudo dumpcap -i eth1 -b filesize:1000 -b files:5 -w capture.pcapng

    Desglosando el comando:

    • -i eth1 captura desde tu interfaz de red principal.
    • -b filesize:1000 limita cada archivo a 1000 kilobytes (1MB).
    • -b files:5 mantiene exactamente 5 archivos en rotación.
    • -w capture.pcapng establece el patrón del nombre de archivo base.

Mientras se ejecuta la captura, verás archivos llamados capture_00001.pcapng, capture_00002.pcapng, etc. El sistema gestionará automáticamente estos archivos, manteniendo solo los 5 más recientes y reciclando el espacio de almacenamiento de manera eficiente.

Iniciar la captura con -i eth1

En este paso, comenzarás a capturar el tráfico de red en la interfaz eth1 utilizando la herramienta dumpcap de Wireshark. Aquí es donde comienza el análisis práctico de la red: recolectando datos reales de paquetes desde tu conexión de red.

La parte -i eth1 le indica a dumpcap qué interfaz de red debe monitorear. En la mayoría de los sistemas Linux, eth1 representa tu conexión Ethernet cableada principal. Piénsalo como elegir qué micrófono usar cuando se graba sonido; aquí estamos seleccionando qué "oído" de red utilizar para escuchar. Combinaremos esto con la configuración de rotación de archivos que aprendiste anteriormente para crear una solución de captura automatizada completa.

Vamos a recorrer el proceso paso a paso:

  1. Primero, navega hasta tu directorio de trabajo. Esto asegura que todos los archivos capturados se guardarán en la ubicación correcta:

    cd ~/project

  2. Ahora ejecuta el comando de captura. Esto hace varias cosas a la vez:

    • -i eth1 monitorea la interfaz eth1.
    • -b filesize:1000 limita cada archivo de captura a 1000 kilobytes.
    • -b files:5 mantiene un máximo de 5 archivos en rotación.
    • -w capture.pcapng establece el nombre de archivo base para la salida.
    sudo dumpcap -i eth1 -b filesize:1000 -b files:5 -w capture.pcapng

  3. Cuando tenga éxito, verás estadísticas en tiempo real que muestran:

    • Nombre del archivo de captura actual.
    • Número de paquetes capturados.
    • Cualquier paquete que podría haberse perdido.
    File: capture_00001.pcapng
Packets captured: 42
Packets received/dropped on interface eth1: 42/0 (100.0%)

La captura se ejecutará continuamente hasta que la detengas con Ctrl+C. Durante este tiempo, gestionará automáticamente la rotación de archivos según tus configuraciones, creando nuevos archivos cuando alcancen el límite de tamaño mientras mantiene exactamente 5 archivos en todo momento.

Verificar archivos con ls/dir

En este paso, verificarás los archivos de captura de paquetes creados por la utilidad dumpcap de Wireshark. Este proceso de verificación es crucial porque te permite confirmar dos aspectos importantes de tu configuración de captura de red: que la rotación de archivos está funcionando según lo configurado y que los archivos de captura se están guardando correctamente.

Cuando trabajas con la función de rotación de archivos de Tshark, el comando ls (o dir en Windows) se convierte en tu herramienta principal para inspeccionar la salida. Este comando lista el contenido de un directorio en sistemas Linux/Unix, y lo usaremos específicamente para examinar los archivos de captura en tu directorio de proyecto.

Verificarás tres características clave de tus archivos de captura:

  1. Existencia: Verifica que los archivos de captura realmente se estén creando.
  2. Tamaño: Confirma que los archivos tienen aproximadamente 1MB cada uno (como se especificó en el paso 1 con la bandera -b filesize).
  3. Cantidad: Asegúrate de que no existan más de 5 archivos (como se limitó en el paso 2 con el parámetro -b files).

Así es cómo debes inspeccionar adecuadamente tus archivos de captura:

  1. Primero, debes detener cualquier proceso de captura en ejecución. En la terminal donde se está ejecutando Tshark, presiona Ctrl+C para detener la captura correctamente. Esto asegura que no se esté escribiendo activamente en ningún archivo durante la inspección.

  2. Ahora, lista todos los archivos de captura en tu directorio de proyecto con información detallada. Las banderas -lh te dan un formato legible por humanos con los tamaños de archivo en MB/GB:

    ls -lh ~/project/capture*.pcapng

  3. Deberías ver una salida similar a esta, que muestra múltiples archivos de captura con el tamaño adecuado:

    -rw-r--r-- 1 root root 1.0M Mar 1 10:15 capture_00001.pcapng
-rw-r--r-- 1 root root 1.0M Mar 1 10:16 capture_00002.pcapng
-rw-r--r-- 1 root root 1.0M Mar 1 10:17 capture_00003.pcapng

  4. Finalmente, para verificar que el límite de cantidad de archivos está funcionando, ejecuta este comando para contar tus archivos de captura. La bandera -1 coloca cada archivo en una línea independiente, y wc -l cuenta esas líneas:

    ls -1 ~/project/capture*.pcapng | wc -l

    La salida debe ser 5 o menos, lo que confirma que la rotación de archivos está limitando adecuadamente el número de archivos conservados.

Resumen

En este laboratorio, has aprendido a automatizar la rotación de archivos en Tshark utilizando la utilidad dumpcap de Wireshark. Las técnicas clave incluyeron establecer límites de tamaño de archivo con -b filesize:1000 y controlar la cantidad de archivos con -b files:5 para optimizar la gestión del almacenamiento.

La práctica práctica demostró cómo implementar estos parámetros con la selección de interfaz (-i eth1) y la especificación de salida (-w), seguidos de pasos de verificación. Este método garantiza una captura eficiente de paquetes mientras se mantiene una rotación de archivos organizada y un control del almacenamiento.

Relacionado Wireshark Cursos
Inicio rápido con Wireshark

Inicio rápido con Wireshark

Cybersecurity
Principiante