Ubuntu Sniffer日志文件怎么查看
导读:Ubuntu 抓包日志查看指南 先确认日志类型 在 Ubuntu 上,“Sniffer”通常指网络抓包工具(如 tcpdump、Wireshark/dumpcap)。这类工具生成的抓包文件是二进制 pcap/pcapng 格式,不能用 c...
Ubuntu 抓包日志查看指南
先确认日志类型
- 在 Ubuntu 上,“Sniffer”通常指网络抓包工具(如 tcpdump、Wireshark/dumpcap)。这类工具生成的抓包文件是二进制 pcap/pcapng 格式,不能用 cat/grep 直接阅读,需用抓包工具打开。
- 若你指的是系统或服务的文本日志(例如某个名为“sniffer”的服务),它们一般位于 /var/log/,可用 journalctl 或文本工具查看。
查看 pcap/pcapng 抓包文件
- 使用 tcpdump 直接读取与过滤
- 读取文件:sudo tcpdump -r capture.pcap
- 只看 HTTP 流量:sudo tcpdump -r capture.pcap -nn -A ‘tcp port 80’
- 只看 某主机 的流量:sudo tcpdump -r capture.pcap -nn host 192.0.2.10
- 更详细输出:加 -v/-vv;不解析域名:加 -n;显示链路层头部:加 -e;十六进制+ASCII:加 -X;仅抓取 N 个包:加 -c N。
- 使用 Wireshark 图形化分析
- 安装:sudo apt-get install wireshark
- 启动后在菜单 File → Open 打开 .pcap/.pcapng,用显示过滤器(如 http、ip.addr==x.x.x.x、tcp.port==80)快速定位会话与问题。
- 使用 dumpcap 进行持续捕获(配合 Wireshark 分析)
- 捕获:sudo dumpcap -i eth0 -w capture.pcap
- 在 Wireshark 中打开该文件进行实时/离线分析。
查看系统或服务的文本日志
- 使用 journalctl 查看服务日志
- 查看全部:journalctl
- 查看某服务:journalctl -u 服务名.service
- 按时间过滤:journalctl --since today、–since “2025-11-24 09:00:00” --until “10:00:00”
- 实时跟踪:journalctl -f
- 查看最近 N 行:journalctl -n 100。
- 直接查看 /var/log 下的常见日志
- 系统日志:/var/log/syslog(或 /var/log/messages)
- 认证日志:/var/log/auth.log
- 内核日志:/var/log/kern.log
- 分页/实时查看:less /var/log/syslog、tail -f /var/log/syslog。
实用命令速查
- 捕获并写入文件:sudo tcpdump -i eth0 -w capture.pcap -c 100
- 读取并只看 80 端口:sudo tcpdump -r capture.pcap -nnA ‘tcp port 80’
- 读取并显示更详细:sudo tcpdump -r capture.pcap -vv -n -e
- 实时查看系统日志:journalctl -f
- 查看某服务今日日志:journalctl -u your-sniffer.service --since today
声明:本文内容由网友自发贡献,本站不承担相应法律责任。对本内容有异议或投诉,请联系2913721942#qq.com核实处理,我们将尽快回复您,谢谢合作!
若转载请注明出处: Ubuntu Sniffer日志文件怎么查看
本文地址: https://pptw.com/jishu/754171.html