目前查询功能是一个独立的命令行程序。去文件目录根据结构查找。是不是应该仿照 redis mysql 这样的，又一个带会话的查询更好？现在正在考虑。

详情见：https://github.com/chunhuitrue/nsave

Nsave 是一个抓取并保存数据包的工具。它持续不断地抓取数据包，并保存到本地。可以根据条件查询链接、数据包并导出成 pcap 文件。可以通过 pcap 或者 af_xdp 来捕获数据包。主要特点是它不基于单个数据包，而是基于流来作索引，可以大幅减少索引所占的磁盘空间。

提醒

目前是开发阶段，不要应用在关键的生产环境。需要配置单独的抓包网卡。管理网卡不能用于抓包，否则你会失去连接，因为加载的 xdp 程序会把网卡上所有的数据包都截获，不再流入内核。