1. 選擇「Capture / Options」。
2. 選擇要側錄的介面。
3. 選擇「Output」分頁。
● Capture to a permanent file
File: <選擇要自動儲存的路徑及檔案>
● Output format: [選擇輸出格式 pcap-ng or pcap]
● Create a new file automatically after... [選擇自動分檔的條件,依檔案大小 or 時間]
● Use a ring buffer with __ files [可選擇要 Recycle 的檔案數,避免檔案數一直成長]
4. 選擇「Options」分頁。
● Stop capture automatically after... [可選擇自動停止側錄的條件]
5. 上述設定完就可以開始長時間側錄,但建議一個封包記錄檔不要超過 200MB 以上,不然在儲存檔案或分析記錄檔時會花費很多時間在載入及Rescan。
6. 若希望只側錄部份 IP 或 Port 減少封包記錄檔的大小,可使用 Capture filter 功能。
例如:只側錄 10.0.0.0/24 連線至 192.168.0.1/192.168.0.3/192.168.0.5 這三台伺服器的連線
Capture filter: (host 192.168.0.1 or host 192.168.0.3 or host 192.168.0.5) and net 10.0.0.0/24
7. 如果常用這個篩選條件,可以按左邊的書籤,選擇「Save this filter」,將該篩選條件儲存。
8. 或選擇「Manage Capture Filters」管理篩選條件。
9. 若選擇「Manage Capture Filters」會出現下圖,點選「+」號新增。
10. 雙擊名稱及條件可修改。
11. 新增完成後,之後可以點擊書籤的符號,將篩選條件叫出來重覆使用。
資料參考來源:
沒有留言:
張貼留言