Fichier pcap

ToadD · Février 20, 2016, 8:26pm

Bonjour,

alors voila, je viens d’essayer de capturer mon trafic réseau via tcpdump sur la machine d’un ami mais à la fin de la capture, le fichier généré par tcpdump n’est pas lisible par un humain . En effet, il est rempli de caractères bizarres. J’ai pourtant installé la libpcap…

Vous savez d’où peut venir le problème ?

Merci d’avance.

PS : en utilisant la cible ULOG avec iptables et en activant le plugin de sorti PCAP dans /etc/ulogd.conf, j’ai le même proclème avec le fichier généré (/var/log/ulog/pcap.log).

ignatioza · Février 20, 2016, 8:26pm

Le format pcap n’est pas un format lisible par un humain.
Si tu lance wireshark en passant en parametre le fichier pcap, ca ne marche pas?
wireshark /var/log/ulog/pcap.log

ToadD · Février 20, 2016, 8:26pm

[quote=“ignatioza”]Le format pcap n’est pas un format lisible par un humain.
Si tu lance wireshark en passant en parametre le fichier pcap, ca ne marche pas?
wireshark /var/log/ulog/pcap.log[/quote]

Effectivement, merci de ton aide

Je me permet d’utiliser ce topic pour poser une nouvelle question concernant logrotate. J’ai défini des règles de rotation dans /var/lib/logrotate/logrotate.status :

/var/log/ulogd/*.log { rotate 12 daily postrotate /etc/init.d/ulogd reload endscript }

Je voudrais effectuer un roulement toutes les 2 heures mais je ne suis pas sur que ça marche vu la taille de mes journaux systèmes qui ne cessent d’augmenter.

J’ai bien indiqué le chemin du fichier avec cette commande :

logrotate -s /var/lib/logrotate/logrotate.status

ignatioza · Février 20, 2016, 8:26pm

/usr/sbin/logrotate /etc/logrotate.conf
?

ToadD · Février 20, 2016, 8:26pm

[quote=“ignatioza”]/usr/sbin/logrotate /etc/logrotate.conf
?[/quote]

Effectivement, merci.

Voila donc mon /etc/logrotate.conf :

/var/log/ulog/*.log { missingok daily rotate 12 postrotate /etc/init.d/ulogd reload }

mes journaux présents dans /var/log/ulog devraient subir les rotations normalement?

ignatioza · Février 20, 2016, 8:26pm

Moi j’ai laissé la conf par defaut. Celle de /etc/logrotate.d/ulogd.
Je ne connais pas trop logrotate mais je vois un truc que tu n’as pas: sharedscripts , c’est voulu?

tuxsmouf · Février 20, 2016, 8:26pm

Pour effectuer une capture avec tcpdump, je passe en général ces paramètres :

tcpdump -i eth0 -s 0 -C 100 -vvv -w nom_fichier

-i : pour choisir l’interface réseau

-s 0 : Pour qu’il te capture les paquets en entier. par défaut, tcpdump capture un paquet jusqu’à 68 octets et après il passe au suivant. Si tu veux aller plus loin dans l’ananlyse du traffic, cela peut être un handicap.

-C 100 : Une fois que la capture atteint 100MO, un autre fichier est créé. Intéressant, si la capture dure longtemps parce qu’ouvrir un fichier de 2G0, ça fait mal au *** de la machine

-vvv : Super verbeux

-w nom_fichier : Pour ecrire la capture dans un fichier (Le fichier est créé par tcpdump).

Ensuite, j’utilise wireshark pour lire les capture car c’est bien plus simple à lire.

Il y a bien d’autres options de dispo sur tcpdump. Il peut être intéressant pour toi de lire le man pour voir si d’autres options peuvent t’intéresser.