Я использую tcpdump для регистрации трафика c на моем маршрутизаторе. Это выглядит так:
10:29:58.601494 IP (tos 0x0, ttl 56, id 45744, offset 0, flags [DF], proto UDP (17), length 295)
one.one.one.one.domain > xxx.xxx.xxx.xxx.51191: [udp sum ok] 2194 NXDomain* q: PTR? 1.178.168.192.in-addr.arpa. 0/1/1 ns: 1.178.168.192.in-addr.arpa. [3h] SOA nobody.invalid. nobody.invalid. 1 3600 1200 604800 10800 ar: explanation.invalid. [3h] TXT "Blocking is mandated by standards, see references on https://www.iana.org/assignments/locally-served-dns-zones/locally-served-dns-zones.xhtml" (267)
10:30:09.060953 IP (tos 0x0, ttl 64, id 65526, offset 0, flags [none], proto UDP (17), length 174)
192.168.178.1.yestrader > xxx.xxx.xxx.xxx.syslog: [udp sum ok] SYSLOG, length: 146
Facility local0 (16), Severity alert (1)
Msg: Mar 05 10:30:06 2020 SYSLOG[0]: [Host 192.168.178.1] TCP 213.217.0.131,40867 --> xxx.xxx.xxx.xxx.15,15611 DENY: Firewall interface access request
0x0000: 3c31 3239 3e4d 6172 2030 3520 3130 3a33
0x0010: 303a 3036 2032 3032 3020 5359 534c 4f47
0x0020: 5b30 5d3a 205b 486f 7374 2031 3932 2e31
0x0030: 3638 2e31 3738 2e31 5d20 5443 5020 3231
0x0040: 332e 3231 372e 302e 3133 312c 3430 3836
0x0050: 3720 2d2d 3e20 3832 2e32 3137 2e31 3638
0x0060: 2e31 352c 3135 3631 3120 4445 4e59 3a20
0x0070: 4669 7265 7761 6c6c 2069 6e74 6572 6661
0x0080: 6365 2061 6363 6573 7320 7265 7175 6573
0x0090: 7420
Как мне извлечь все сообщения, которые имеют xxx.xxx.xxx.xxx.any_port > (поэтому исходящие)? Я подозреваю, что простое использование grep или grep -v удаляет / включает отдельные строки из журнала, но не сообщения. В сети несколько устройств, поэтому я также хочу выбрать xxx.xxx.xxx.xxx.