Svn pcapsipdump未保存捕获文件

我正在尝试使用一个名为pcapsipdump的程序，但无论我尝试了什么，它都没有效果。不知道我做错了什么

我使用这种方法从SVN安装了它

    apt-get install subversion libpcap0.8 libpcap-dev build-essential
    svn checkout svn://svn.code.sf.net/p/pcapsipdump/code/trunk pcapsipdump-code
    cd pcapsipdump-code
    make all
    make install-debian
    update-rc.d pcapsipdump defaults
    nano /etc/default/pcapsipdump

设置文件如下所示

    PCAPSIDUMP_ENABLE=true
    DEVICE=eth3
    SPOOLDIR=/var/spool/pcapsipdump
    RETENTION=7

这个过程似乎正在运行

    sudo service pcapsipdump status
    pcapsipdump (pid 1457) is running

    ps -ax | grep pcapsipdump
    1457 ttyS0    S      0:00 /usr/sbin/pcapsipdump -d /var/spool/pcapsipdump -i eth3
    1617 ttyS0    S+     0:00 grep --color=auto pcapsipdump

它似乎正在访问所需的库

    sudo lsof | grep pcapsip
    pcapsipdu 1457            root  cwd       DIR              252,0     4096    8653224 /var/spool/pcapsipdump
    pcapsipdu 1457            root  rtd       DIR              252,0     4096          2 /
    pcapsipdu 1457            root  txt       REG              252,0    28832   24260551 /usr/sbin/pcapsipdump
    pcapsipdu 1457            root  mem       REG                0,7               10167 socket:[10167] (stat: No such file or directory)
    pcapsipdu 1457            root  mem       REG              252,0  1071552    4980955 /lib/x86_64-linux-gnu/libm-2.19.so
    pcapsipdu 1457            root  mem       REG              252,0  1845024    4980944 /lib/x86_64-linux-gnu/libc-2.19.so
    pcapsipdu 1457            root  mem       REG              252,0    90080    4980754 /lib/x86_64-linux-gnu/libgcc_s.so.1
    pcapsipdu 1457            root  mem       REG              252,0    56016    4980988 /lib/x86_64-linux-gnu/libbsd.so.0.6.0
    pcapsipdu 1457            root  mem       REG              252,0   979056   24253260 /usr/lib/x86_64-linux-gnu/libstdc++.so.6.0.19
    pcapsipdu 1457            root  mem       REG              252,0   249096   24255058 /usr/lib/x86_64-linux-gnu/libpcap.so.1.5.3
    pcapsipdu 1457            root  mem       REG              252,0   149120    4980942 /lib/x86_64-linux-gnu/ld-2.19.so
    pcapsipdu 1457            root    0u      CHR               4,64      0t0       8214 /dev/ttyS0
    pcapsipdu 1457            root    1u      CHR               4,64      0t0       8214 /dev/ttyS0
    pcapsipdu 1457            root    2u      CHR               4,64      0t0       8214 /dev/ttyS0
    pcapsipdu 1457            root    3u     pack              10167      0t0        ALL type=SOCK_RAW

wireshark似乎在这个系统上工作得很好。我不知道我做错了什么

这里有一些关于这个系统的更多信息

   cat /proc/version
   Linux version 3.13.0-44-generic (buildd@lamiak) (gcc version 4.8.2 (Ubuntu 4.8.2-19ubuntu1) ) #73-Ubuntu SMP Tue Dec 16 00:22:43 UTC 2014

   cat /etc/*-release
   DISTRIB_ID=Ubuntu
   DISTRIB_RELEASE=14.04
   DISTRIB_CODENAME=trusty
   DISTRIB_DESCRIPTION="Ubuntu 14.04.1 LTS"
   NAME="Ubuntu"
   VERSION="14.04.1 LTS, Trusty Tahr"
   ID=ubuntu
   ID_LIKE=debian
   PRETTY_NAME="Ubuntu 14.04.1 LTS"
   VERSION_ID="14.04"
   HOME_URL="http://www.ubuntu.com/"
   SUPPORT_URL="http://help.ubuntu.com/"
   BUG_REPORT_URL="http://bugs.launchpad.net/ubuntu/"

任何帮助都将不胜感激！这也是我在这里的第一篇帖子，如果我遗漏了任何规则，请让我知道。多谢各位

编辑1：

有关系统的更多信息。该机箱有4个以太网端口。eth2和eth3在br1中使用brctl工具。正在pcapsipdump的端口是两个交换机之间的中继端口。盒子在他们之间。所有的车辆都通过这台机器。VLAN是否有可能干扰应用程序

     sudo brctl show
     bridge name     bridge id               STP enabled     interfaces
     br0             8000.0050c22508bc       no              eth0
                                                             eth1
     br1             8000.0050c22508be       no              eth2
                                                             eth3

    br1       Link encap:Ethernet  HWaddr 00:50:c2:25:08:be
              UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
              RX packets:175550 errors:0 dropped:11309 overruns:0 frame:0
              TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
              collisions:0 txqueuelen:0
              RX bytes:10625462 (10.6 MB)  TX bytes:0 (0.0 B)

    eth2      Link encap:Ethernet  HWaddr 00:50:c2:25:08:be
              UP BROADCAST RUNNING NOARP MULTICAST  MTU:1500  Metric:1
              RX packets:379365 errors:0 dropped:520 overruns:0 frame:0
              TX packets:318668 errors:0 dropped:0 overruns:0 carrier:0
              collisions:0 txqueuelen:1000
              RX bytes:244877902 (244.8 MB)  TX bytes:40942935 (40.9 MB)
              Interrupt:18 Memory:dfc00000-dfc20000

    eth3      Link encap:Ethernet  HWaddr 00:50:c2:25:08:bf
              UP BROADCAST RUNNING NOARP MULTICAST  MTU:1500  Metric:1
              RX packets:320221 errors:0 dropped:0 overruns:0 frame:0
              TX packets:378233 errors:0 dropped:0 overruns:0 carrier:0
              collisions:0 txqueuelen:1000
              RX bytes:41042572 (41.0 MB)  TX bytes:244621993 (244.6 MB)
              Interrupt:19 Memory:dfb00000-dfb20000

编辑2：

是的，就是这样。使用镜像端口进行测试，而不是通过机箱传递所有VLAN。它开始工作了

---

现在有一个问题，有没有办法让VLAN起作用？还是我被卡住了？

pcapsipdump似乎不支持VLAN。除了测试的证据外，我似乎找不到任何文件来证明或反驳这一点

解决方案：使用wireshark捕获并去除vlan标记。将捕获文件发送到pcapsipdump进行处理

在此处找到一些用于重新写入捕获文件的工具

    http://tcpreplay.synfin.net/wiki/tcprewrite

去掉标签

    ls | xargs -I pcapfile tcprewrite --enet-vlan=del --infile=/wireshark/wireshark3/pcapfile --outfile=/wireshark/calls/pcapfile

然后将捕获文件推送到pcapsipdump中

    ls | xargs -I pcapfile pcapsipdump -r /wireshark/calls/pcapfile

---

一切顺利。只需不时添加一些脚本即可完成此操作。

支持在一个或多个802.1Q子接口的父接口上捕获，因为SVN版本101：

请参见此处如何从SVN安装最新的开发版本：

---

是否/var/spool/pcapsipdump完全为空？由于此工具转储SIP控制流量，您是否生成了一些？如果使用wireshark进行嗅探，wireshark是否正确显示端口5060的通信量？是的，目录为空。sip是5060，几乎是纯sip。它们确实在正常情况下出现。我有更多的设置信息要添加到这个。我将编辑我的主要帖子hey@Aex-Aey。欢迎来到S.O.请为您的链接添加一些上下文。如果这些链接将来断开，它们将毫无用处。有关更多详细信息，请参阅“提供链接的上下文”一节。哇@Aex Aey谢谢，看起来你是补丁的作者吗？我会尽快更新SVN并测试，我会在这里发布我的测试结果。嘿@Aex Aey。我被转移到另一个项目。这可能晚了几年，但修复确实起了作用。