Fórumok
Van néhány gyanús log bejegyzés a suicata logomban és szeretném látni, hogy pontosan milyen forgalom is zajlik mögötte.
Erre tökéletes lenne a pcap log, amit utána szépen át tudnék nézni a wireshark-kal. A probléma az, hogy az olvasmányai alapján a pcap log vagy mindent tartalmaz - emiatt nagyon nagy lesz, vagy semmit.
Van arra lehetőség, hogy megadjak egy ip-t, hogy az arra menő és onnan jövő csomagokat logolja , mint a wireshark capture szűrője.
A másik megoldás az lehet, hogy a gép ethernet portját tükrözöm a swich-en és arra teszek egy gépen egy wiresharkot. Ez is járható, de az első elegánsabb lenne, hiszen a csomagok már úgyis ott vannak a memóriában.