最初から読み取らずにファイルに書き込まれたライブキャプチャをtsharkにフィードする方法はありますか?
MicrotikルーターからLinuxサーバーへのトラフィックをキャプチャし、大きなファイルに書き込んでいます。数GBのファイルであり、最初から読み取る余裕がないため、現在のファイルの最後から先にフィードする方法を探していますが、tshark(またはtcpdump)は最初にヘッダーを読み取る必要があります。そうしないと、終了します。 「認識されないlibpcap形式」を使用します。したがって、tail-fは機能しません。何か案は?
そこで、次のようなものを使用して、最初にpcapヘッダーを取得し、次に現在のファイルの末尾からテールを取得することで、探していたものに似たものを取得する簡単な方法を見つけました。
(dd if=<CAPTUREFILE> bs=1 count=24; tail -c 0 -f <CAPTUREFILE>) | tcpdump -nn -r -
唯一の問題は、この方法を使用すると、最後のパケットの一部を取得できないことです。これが私が探していたものです。