1、常规用法
tcpdump -i ens32 host 172.20.36.101 and \(172.20.36.36 \) -w ./target.cap -v
-i ens32指定网卡
host 指定ip地址
-w 写入文件
-v 显示接受数据量
port 8089 抓取port的包
2、指定间隔保存
tcpdump -i ens32 port 8089 -s0 -G 600 -w %Y_%m%d_%H%M_%S.pcap -v
-s0 防止包截断 -G 600 600s保存一次
3、指定大小保存
tcpdump -i ens32 port 8089 -s0 -C 5 -Z root -w ens32.pcap -v
-i 指定网卡名称
这里的-s0 表示每个报文的大小是接收到的指定大小,如果没有这个选项,则超过比如1500字节
-C 表示每当文件达到指定大小时进行重新保存一个新文件,单位是MB
-Z 表示下面的新文件也是用root权限来执行的,如果用-c时必须配合-Z(大写z).
-w后面跟具体的文件名称
注意:这个命令行保存下来的文件名是ens32.pcap ens32.pcap0 ens32.pcap1