Анализ лога сделанного tcpdump

неясна задача. какая топология сети ? что значит - блокирует работу ? откуда уверенность, что это именно компьютер , а не перегнутый где-то кабель/глючный свитч и тп ? так что вовсе не факт что tcpdump вам тут вообще поможет. поподробнее опишите.

Опция tcpdump -vvv тоже не помешает.

Топология звезда, 100Мбит. Стоит файл-сервер на linux RedHat 7.3 2.4.18. Машин-клиентов 18. Своя программа обработки данных. В период наиболее интенсивного обмена. Часть компьютеров зависают (3-5 компьютера), а остальные работают (периода нет носит случайный характер). Через некоторое время дальше идет нормально. Все машины подключены к свичу D-Link (дальше не помню, его меняли не давно). Уверенность, что компбютер 70% (нутром чую, что сетевая карта дурит). С помощью tcpdump-а хочу выявить какая сетевая глючит, загрузку сети хочу узнать, надо ли мне менять оборудование на Гигабит технологию.

в таком случае я бы начал с анализа загруженности сетевого интерфейса на сервере. хотя бы по счетчикам ifconfig + mrtg . ну и что за "своя программа" - тоже немаловажно. может, это она себя так плохо ведет при пиковых нагрузках ?

Вы имеете ввиду количество коллизий, число отброшенных пакетов? А mrtg программа мониторинга сети? Я не хочу грузить файл-сервер. Останавливать его нельзя, пашет 24 часа в сутки.

разумеется, коллизии/ошибки тоже смотреть надо. вообще-то если у вас 100 full duplex то никаких коллизий быть вообще не должно... да и вообще счетчики любых ошибок в данном случае сильно отличающиеся от нуля - повод для размышений. mrtg - программа построения графиков на основе неких данных. с ее помощью вы сможете посмотреть когда насколько близко к предельной пропускной способности сети подходит загрузка eth на сервере. свитч, насколько я понял неуправляемый ? если все же он умеет snmp - то лучше данные для mrtg брать прямо с него (вообще-то mrtg изначально и был предназначен для этого :) ) - тогда можно будет промониторить не только серверный порт, но и клиентские...

Карта eth0 192.168.1.254 - Свич - 18 клиентских машин работает в 100 Full duplex. Коллизий, ошибок нет. Карта eth1 192.168.9.253 - Хаб - компьютер (администратор базы данных). Работает в 100 Half duplex. RX 2493Mb, TX 720.2 Mb Коллизий 12603992 frame: 4603 carrier: 287. За mrtg спасибо буду разбираться. А его можно поставить не на файл -сервер, а на На ту машину где крутится apache?

да поставить-то можно куда угодно, но тебе надо будет как-то забирать показания счетчиков ifconfig именно с сервера. в-принципе, никто не мешает формировать все на сервере - это же самба-сервер ? ну вот и формируй отчеты в какой-то дире на нем, подмапливай диск на клиенте, да смотри себе спокойненько в любом браузере.