以下是Dumpcap在Debian中的最佳實踐:
sudo apt update和sudo apt install dumpcap安裝,用sudo setcap 'cap_net_raw,cap_net_admin=eip' /usr/sbin/dumpcap賦予權限,也可創建專用用戶組提高安全性。/etc/dumpcap.conf定制默認設置,如指定捕獲接口、設置緩沖區大小、最大文件數等。-i any捕獲所有接口數據,-c指定捕獲數量,-C和-W控制文件大小和數量,-f設置BPF過濾器,-l實時顯示捕獲情況。-P以pcapng格式保存,合理設置存儲路徑和權限,確保有足夠磁盤空間。journalctl -u dumpcap.service查看日志監控運行狀態,及時處理異常。
