Si je veux tcpdump les requêtes DNS par les clients (sur un routeur OpenWrt 10.04), alors je
root@ROUTER:/etc# tcpdump -n -i br-lan dst port 53 2>&1
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on br-lan, link-type EN10MB (Ethernet), capture size 96 bytes
22:29:38.989412 IP 192.168.1.200.55919 > 192.168.1.1.53: 5697+ A? foo.org. (25)
22:29:39.538981 IP 192.168.1.200.60071 > 192.168.1.1.53: 17481+ PTR? 150.33.87.208.in-addr.arpa. (44)
^C
2 packets captured
3 packets received by filter
0 packets dropped by kernel
C'est tout à fait correct. Mais. Pourquoi ne puis-je pas diriger la sortie tcpdumps en temps réel?
root@ROUTER:/etc# tcpdump -n -i br-lan dst port 53 2>&1 | awk '/\?/ {print $3}'
^C
root@ROUTER:/etc#
Si je awk, etc. quelque chose après tcpdump, je n'obtiens AUCUNE sortie. Pourquoi donc? Pourquoi ne puis-je pas traiter la sortie de tcpdump avec pipelining en temps réel? (de sorte que par exemple: dans l'exemple en ne sort que la 3ème colonne)
Y a-t-il des solutions pour cela?