CentOS Sniffer如何实时监控
导读:CentOS 上实现 Sniffer 实时监控的实用方案 一、工具选型与适用场景 tcpdump:系统自带或易安装的命令行抓包工具,适合服务器上快速实时查看与过滤,配合表达式可显著降低负载。 tshark:Wireshark 的命令行版本...
CentOS 上实现 Sniffer 实时监控的实用方案
一、工具选型与适用场景
- tcpdump:系统自带或易安装的命令行抓包工具,适合服务器上快速实时查看与过滤,配合表达式可显著降低负载。
- tshark:Wireshark 的命令行版本,解析更丰富,适合在无图形界面的服务器上做更细的实时协议分析。
- Wireshark(GUI):图形化分析最强,适合本地桌面实时抓包;远程可通过管道将抓包数据实时送入本机 Wireshark 界面。
- Packetbeat:面向应用层(如 HTTP、MySQL、DNS)的“托运人”,将解析后的事件实时发送到 Elasticsearch/Logstash/Kibana,便于检索、可视化与告警。
- MySQL Sniffer:针对 MySQL 协议的专用嗅探器,能实时打印 SQL、耗时、来源等,便于数据库审计与性能排查。
二、快速上手命令示例
- 使用 tcpdump 实时查看并过滤
- 查看网卡:ip addr;实时抓包:sudo tcpdump -i eth0 -n
- 仅看某主机:sudo tcpdump -i eth0 -n ‘host 192.168.1.100’
- 保存到文件:sudo tcpdump -i eth0 -w capture.pcap;回放:sudo tcpdump -r capture.pcap
- 使用 tshark 实时抓包与过滤
- 实时抓 TCP:sudo tshark -i eth0 -f “tcp”
- 仅看某源 IP:sudo tshark -i eth0 -f “src host 192.168.1.100”
- 保存与回放:sudo tshark -i eth0 -f “tcp” -w capture.pcap;sudo tshark -r capture.pcap
- 远程图形化实时分析(Wireshark 接收管道数据)
- 在 Windows 上用 ADVsock2pipe 监听端口(示例端口 2134),Wireshark 从该 Pipe 捕获;
- 在 CentOS 上执行:sudo tcpdump -i eth0 -nn -w - -U -s 0 “not port 2134” | nc 10.0.0.23 2134,即可把本地抓包实时推送到远端 Wireshark。
三、进阶用法与长期监控
- 环形缓冲与自动分段:用 tshark 的 ring buffer 避免磁盘被撑满
- 示例:sudo tshark -i eth0 -a filesize:100 -a files:10 -w /data/cap.pcap(每 100KB 切一个文件,最多 10 个,循环覆盖)
- 持续抓包与自动轮转(tcpdump):脚本按时间/大小切分并压缩归档,配合磁盘告警清理旧数据,适合 24×7 监控与取证。
- 应用层实时监控(Packetbeat):在客户端启用 interfaces.device: any,在 protocols 中启用需要的协议(如 http、mysql、dns),将事件输出到 ELK 集群,实现搜索、可视化与告警。
四、性能与合规要点
- 始终优先使用捕获过滤表达式(如 host、port、tcp/udp)减少无关流量,降低 CPU/磁盘压力。
- 需要观察链路全量流量时再启用混杂模式(多数抓包工具默认开启),避免无谓负载。
- 长时间运行请启用文件大小/时间切分与磁盘空间监控/清理,防止抓包中断或磁盘耗尽。
- 抓包涉及隐私与合规,务必在授权范围内使用,避免泄露敏感数据。
声明:本文内容由网友自发贡献,本站不承担相应法律责任。对本内容有异议或投诉,请联系2913721942#qq.com核实处理,我们将尽快回复您,谢谢合作!
若转载请注明出处: CentOS Sniffer如何实时监控
本文地址: https://pptw.com/jishu/772330.html