==>G apply properties的時候,CPU usage will be 100%
之前的回信是建議我用RSKill的埠來聽,當然要另外設定Switch做個mirror。接好了之後就可以用ndumpstart來啟動dump,以解決G上的偵測卡是stealth mode而無法用tcpdump來記錄的不便。不過這次ISS Support告訴我,可能用Advanced Parameter來偵測會更好,所以我就來做實驗了…
用
packetlog.enabled來啟動
packetlog.maxfiles來調整要用多少個檔案來記錄
packetlog.maxKbytes來調整每個檔案最大容量有多少
之前maxfiles default 10, maxKbytes default 1400 (1.4M, 像是軟碟片)
因此,這種記錄是不會無止境的增加的。
可能要實驗,這種檔案是否只能放在 /opt/ISS/issSensors/network_sensor_1/Logs目錄下
==>不是,哈哈哈。可以放在別的地方,只要改成
../../../../
就可以到根目錄底下,這時要放到別的地方(我的意思是別的硬碟)的話,在後面加上就是囉。
我今天改成了 30,140000(140M)的方式,以top來看,沒有給CPU帶來多少負擔,雖然用SSH連進去的時候好像變慢了…所以應該可行吧。不過140 x 30=4200= 4G,對硬碟空間的要求相當大,是否可以另外接一顆硬碟上來專門收這種東西?
可怕的是,就這麼大的空間,恐怕也不能撐過幾分鐘(大概是十分鐘吧,我想)。不過存下來的資料卻已經讓我眼花。用Ethereal來看這些資料,裡面是亂七八糟的封包資料,我也不知道要怎麼解讀,這下子應該要好好K TCP/IP的東西啦。以這些東西來研究一下吧。
沒有留言:
張貼留言