[Wireshark] 일정 주기로 PCAP 자동 저장

 일을 하다가 가상 서버에서 "일정 시간마다 네트워크 로그를 수집" 하는 환경을 구성해야 했던 때가 있었다. Wireshark 솔직히 실시간으로 패킷 캡처하고 잠깐 프로토콜 분석하는 용도 외에는 잘 사용하지 않아서 조금 해맸다.

 

1. Wireshark 실행후 상단의 Capture > Option

 

2. 가운데 Output 탭 이동

 

3. Create a new file automatically 체크 후 아래 옵션 선택(패킷 개수, 크기, 시간 등등 설정 가능) 지금은 패킷 20개마다 파일 저장으로 설정 해보겠다.

 

4. Capture to a permanent file의 Browse를 눌러 저장될 경로 선택 -> 임시파일 이름 설정(여기서는 test.pcap)

 

5. start하고 기다리기

 

6. 대상 폴더에 NNNNN_YYYYMMDDSSSSSS 형태로 저장됨을 확인

 

* 실제 서버에서 할거라면 얼마 못가 오버헤드때문에 죽을 수도 있음. 때문에 powershell이라던가 스크립트를 짜서 매일 파일서버로 전송한다던가 삭제한다던가 추가 작업이 필요할 듯 보임