Использование NGREP в Linux

NGREP - это утилита, представляющая собой что-то среднее между tcpdump и wireshark. 
NGREP не такой удобный как wireshark, зато превосходит по удобству использования tcpdump.
NGREP работает в терминале и это здорово!

Сайт проекта
http://ngrep.sourceforge.net/

Установка  ngrep в CentOS7
# yum -y install epel-release
# yum install ngrep

Основные ключи запуска
-W сохранить форматирование строк
-q скрывает избыточную информацию о неподходящих пакетах
-d определение сетевого интерфейса, который нужно прослушивать

ПРИМЕРЫ ИСПОЛЬЗОВАНИЯ:
Просмотр трафика проходящего порт 5060 интерфейса ens32
# ngrep -q -d ens32 -W byline port 5061

Просмотр трафика, проходящего через порт 5061, интерфейс ens32 и с хостом 10.10.50.240
# ngrep -q -d ens32 -W byline  host 10.10.50.240 and port 5061
# ngrep -qt -p -d ens32 -W byline  host 10.10.50.240 and port 5061

Перехватывает все пакеты с методами HTTP: GET или POST:
# ngrep -q -d ens32 -W byline "^(GET|POST) .*"

Перехват трафика, содеожащего в пакете цифры 99991003 (например номер телефона)
# ngrep -qt -p -d ens32 -W byline "99991003"  host 10.10.50.240 and port 5061

Перехват трафика и сброс его в файл:
# ngrep -W byline -d eth0 port 5060 -O capture_file