LabEx
Se connecterInscription gratuite

Automatiser la rotation des fichiers dans Tshark

WiresharkWiresharkBeginner
Pratiquer maintenant

💡 Ce tutoriel est traduit par l'IA à partir de la version anglaise. Pour voir la version originale, vous pouvez cliquer ici

Introduction

Dans ce laboratoire (lab), vous apprendrez à automatiser la rotation de fichiers dans Tshark en utilisant l'utilitaire dumpcap de Wireshark pour une gestion efficace de la capture de paquets. Vous configurerez à la fois la rotation basée sur la taille (limite de 1 Mo avec -b filesize:1000) et la rotation basée sur le nombre (limite de 5 fichiers avec -b files:5) pour optimiser l'espace disque lors de l'analyse réseau.

Le laboratoire vous guide tout au long de la capture du trafic sur l'interface eth1 avec des paramètres de rotation, puis de la vérification des fichiers de sortie. Ces techniques permettent de maintenir des captures de paquets organisées tout en évitant le dépassement de stockage lors de sessions de surveillance prolongées.

Skills Graph

%%%%{init: {'theme':'neutral'}}%%%% flowchart RL wireshark(("Wireshark")) -.-> wireshark/WiresharkGroup(["Wireshark"]) wireshark/WiresharkGroup -.-> wireshark/interface("Interface Overview") wireshark/WiresharkGroup -.-> wireshark/packet_capture("Packet Capture") wireshark/WiresharkGroup -.-> wireshark/commandline_usage("Command Line Usage") subgraph Lab Skills wireshark/interface -.-> lab-548915{{"Automatiser la rotation des fichiers dans Tshark"}} wireshark/packet_capture -.-> lab-548915{{"Automatiser la rotation des fichiers dans Tshark"}} wireshark/commandline_usage -.-> lab-548915{{"Automatiser la rotation des fichiers dans Tshark"}} end

Définir une taille de fichier de 1 Mo avec -b filesize:1000

Dans cette étape, vous configurerez l'utilitaire de capture de paquets dumpcap de Wireshark pour créer automatiquement de nouveaux fichiers lorsque la capture atteint une taille de 1 Mo. Cette technique s'appelle la rotation de fichiers et aide à gérer l'espace disque en empêchant les fichiers de capture individuels de devenir trop volumineux.

Le paramètre -b filesize: contrôle ce comportement en spécifiant la taille maximale du fichier en kilooctets (KB). Étant donné que 1000 KB équivaut approximativement à 1 Mo, ce paramètre créera un nouveau fichier chaque fois que la capture actuelle atteint cette taille. Cela est particulièrement utile pour les captures de longue durée où vous souhaitez maintenir des tailles de fichiers gérables.

Passons en revue le processus de configuration étape par étape :

  1. Tout d'abord, ouvrez un terminal dans votre machine virtuelle LabEx si vous ne l'avez pas déjà fait. C'est dans le terminal que nous exécuterons toutes nos commandes.

  2. Avant de commencer la capture, nous devons nous assurer que nous sommes dans le bon répertoire de travail. Exécutez cette commande pour accéder au dossier du projet :

    cd ~/project

  3. Maintenant, nous allons commencer la capture de paquets avec notre limite de taille. Exécutez cette commande dans votre terminal :

    sudo dumpcap -i eth1 -b filesize:1000 -w capture.pcapng

    Analysons ce que chaque partie de cette commande fait :

    • sudo nous donne les privilèges administratifs nécessaires pour la capture de paquets
    • dumpcap est l'outil de capture en ligne de commande de Wireshark
    • -i eth1 indique à dumpcap d'écouter sur l'interface réseau eth1
    • -b filesize:1000 définit notre seuil de rotation de 1 Mo
    • -w capture.pcapng spécifie le nom de base du fichier de sortie

La capture s'exécutera en continu dans votre terminal. Lorsqu'elle aura collecté environ 1 Mo de données, vous remarquerez que le système crée automatiquement un nouveau fichier avec un numéro incrémenté (comme capture_00001.pcapng) tout en conservant le fichier capture.pcapng d'origine comme fichier actif. Cette rotation se produit de manière transparente en arrière-plan.

Limiter à 5 fichiers avec -b files:5

Dans cette étape, nous allons explorer comment contrôler le nombre de fichiers de capture de paquets créés par l'utilitaire dumpcap de Wireshark. Lorsque vous capturez le trafic réseau sur de longues périodes, il est important de gérer l'espace de stockage en limitant à la fois les tailles des fichiers et le nombre total de fichiers.

Le paramètre -b files: vous permet de définir un nombre maximum de fichiers de capture rotatifs. Lorsqu'il est combiné avec -b filesize de notre leçon précédente, cela crée un système de rotation efficace où :

  • De nouveaux fichiers sont créés lorsque le fichier actuel atteint la limite de taille
  • Seul le nombre spécifié de fichiers est conservé
  • Le fichier le plus ancien est écrasé lorsque la limite est atteinte

Implémentons cela avec un exemple pratique en limitant à 5 fichiers :

  1. Tout d'abord, si vous avez une capture en cours depuis les exercices précédents, arrêtez - la en appuyant sur Ctrl+C dans votre fenêtre de terminal. Cela nous permet de commencer à neuf.

  2. Accédez à notre répertoire de travail où nous allons stocker les fichiers de capture. Exécutez :

    cd ~/project

  3. Maintenant, exécutez la commande de capture avec des limites de taille et de nombre :

    sudo dumpcap -i eth1 -b filesize:1000 -b files:5 -w capture.pcapng

    Analysons la commande :

    • -i eth1 capture depuis votre interface réseau principale
    • -b filesize:1000 limite chaque fichier à 1000 kilooctets (1 Mo)
    • -b files:5 maintient exactement 5 fichiers rotatifs
    • -w capture.pcapng définit le modèle de nom de base des fichiers

Au fur et à mesure que la capture s'exécute, vous verrez des fichiers nommés capture_00001.pcapng, capture_00002.pcapng, etc. Le système gérera automatiquement ces fichiers, ne conservant que les 5 plus récents et recyclant efficacement l'espace de stockage.

Démarrer la capture avec -i eth1

Dans cette étape, vous allez commencer à capturer le trafic réseau sur l'interface eth1 en utilisant l'outil dumpcap de Wireshark. C'est là que commence l'analyse réseau pratique : en collectant des données de paquets réelles depuis votre connexion réseau.

La partie -i eth1 indique à dumpcap quelle interface réseau surveiller. Sur la plupart des systèmes Linux, eth1 représente votre connexion Ethernet filaire principale. Imaginez - le comme le choix du microphone à utiliser lors de l'enregistrement d'un son ; ici, nous sélectionnons l'"oreille" réseau à travers laquelle écouter. Nous allons combiner cela avec les paramètres de rotation de fichiers que vous avez appris précédemment pour créer une solution de capture complète et automatisée.

Passons en revue le processus étape par étape :

  1. Tout d'abord, accédez à votre répertoire de travail. Cela garantit que tous les fichiers capturés seront enregistrés au bon endroit :

    cd ~/project

  2. Maintenant, exécutez la commande de capture. Cela fait plusieurs choses à la fois :

    • -i eth1 surveille l'interface eth1
    • -b filesize:1000 limite chaque fichier de capture à 1000 kilooctets
    • -b files:5 conserve un maximum de 5 fichiers rotatifs
    • -w capture.pcapng définit le nom de base du fichier de sortie
    sudo dumpcap -i eth1 -b filesize:1000 -b files:5 -w capture.pcapng

  3. En cas de succès, vous verrez des statistiques en direct montrant :

    • Le nom du fichier de capture actuel
    • Le nombre de paquets capturés
    • Tout paquet qui pourrait avoir été manqué
    File: capture_00001.pcapng
Packets captured: 42
Packets received/dropped on interface eth1: 42/0 (100.0%)

La capture s'exécutera en continu jusqu'à ce que vous l'arrêtiez avec Ctrl+C. Pendant ce temps, elle gérera automatiquement la rotation des fichiers selon vos paramètres, en créant de nouveaux fichiers lorsqu'ils atteignent la limite de taille tout en conservant exactement 5 fichiers à tout moment.

Vérifier les fichiers avec ls/dir

Dans cette étape, vous allez vérifier les fichiers de capture de paquets créés par l'utilitaire dumpcap de Wireshark. Ce processus de vérification est crucial car il vous permet de confirmer deux aspects importants de votre configuration de capture réseau : que la rotation des fichiers fonctionne comme configuré et que les fichiers de capture sont correctement enregistrés.

Lorsque vous utilisez la fonction de rotation de fichiers de Tshark, la commande ls (ou dir sur Windows) devient votre outil principal pour inspecter la sortie. Cette commande liste le contenu d'un répertoire sur les systèmes Linux/Unix, et nous l'utiliserons spécifiquement pour examiner les fichiers de capture dans votre répertoire de projet.

Vous allez vérifier trois caractéristiques clés de vos fichiers de capture :

  1. Existence : Vérifiez que les fichiers de capture sont effectivement créés.
  2. Taille : Confirmez que les fichiers ont chacun environ 1 Mo (comme spécifié à l'étape 1 avec le paramètre -b filesize).
  3. Quantité : Assurez - vous qu'il n'y a pas plus de 5 fichiers (comme limité à l'étape 2 avec le paramètre -b files).

Voici comment inspecter correctement vos fichiers de capture :

  1. Tout d'abord, vous devez arrêter tout processus de capture en cours. Dans votre terminal où Tshark est en cours d'exécution, appuyez sur Ctrl+C pour arrêter proprement la capture. Cela garantit qu'aucun fichier n'est en cours d'écriture pendant l'inspection.

  2. Maintenant, liste tous les fichiers de capture dans votre répertoire de projet avec des informations détaillées. Les options -lh vous donnent un format lisible par l'homme avec les tailles de fichiers en Mo/Go :

    ls -lh ~/project/capture*.pcapng

  3. Vous devriez voir une sortie similaire à celle - ci, montrant plusieurs fichiers de capture de taille appropriée :

    -rw-r--r-- 1 root root 1.0M Mar 1 10:15 capture_00001.pcapng
-rw-r--r-- 1 root root 1.0M Mar 1 10:16 capture_00002.pcapng
-rw-r--r-- 1 root root 1.0M Mar 1 10:17 capture_00003.pcapng

  4. Enfin, pour vérifier que la limite du nombre de fichiers fonctionne, exécutez cette commande pour compter vos fichiers de capture. L'option -1 place chaque fichier sur une ligne distincte, et wc -l compte ces lignes :

    ls -1 ~/project/capture*.pcapng | wc -l

    La sortie devrait être 5 ou moins, confirmant que la rotation des fichiers limite correctement le nombre de fichiers conservés.

Résumé

Dans ce laboratoire, vous avez appris à automatiser la rotation des fichiers dans Tshark en utilisant l'utilitaire dumpcap de Wireshark. Les techniques clés ont inclus la définition de limites de taille de fichier avec -b filesize:1000 et le contrôle du nombre de fichiers avec -b files:5 pour optimiser la gestion du stockage.

La pratique pratiques a démontré comment implémenter ces paramètres avec la sélection d'interface (-i eth1) et la spécification de la sortie (-w), suivie d'étapes de vérification. Cette méthode garantit une capture efficace de paquets tout en maintenant une rotation organisée des fichiers et un contrôle du stockage.

Connexe Wireshark Cours
Démarrage rapide avec Wireshark

Démarrage rapide avec Wireshark

Cybersecurity
Débutant