Ngrep複数のpcaps

Question

私はNDRのためにMolochを使用し、10Gのpcapsに保存するようにしました。 ngrep経由でpcapsから特定のデータを解析しようとすると、一度に1つしか解析できません。ワイルドカードを使用して単純なngrepを使用すると、私はpcapをコンパイルします：構文エラー。

ngrep -I /data/moloch/raw/*.pcap -W none 'host 192.168.0.101' -O /data/moloch/parsed.pcap 

私は

for file in ls -1 /data/moloch/raw/*.pcap' do nice -n 10 ngrep -O /data/moloch/parsed.pcap -W none 'host 192.168.0.101' done 

を使用している場合、それは予想されるコマンドを "行う" をアップ投げます。申し訳ありませんが、それは簡単な質問だと確信していますが、私はLinuxを使用し始めています。

Answer 1

問題を修正しました。

cd /data/moloch/raw 
for file in `ls -1 *.pcap` 
do 
    nice -n 10 ngrep -I $file -q ip host 192.168.0.101 -O /data/moloch/save/$file 
done 

が原因あなたは、パイプのpcap形式に出力することはできません実際に、それはすべてのファイル読み取りのためのpcapファイルを書き込む持っていた、と私はその形式でそれを持っている必要があります。既存のファイルを追加する必要はありません。 すべてのことが終わったら、データなしのすべてのpcapを削除し、mergecapを使用して1 pcapを作成します。