安装

根据自己的环境选择合适的安装方式。若希望按照步骤完成并进行第一次抓包，请前往快速上手。

预编译二进制

在 GitHub Releases 页面获取适用于 x86_64 或 arm64 的静态版本：

安装构建依赖（Go 1.23+、clang/llvm、bison、flex、gcc、make、autoconf、libelf）。在 Debian/Ubuntu 上：

sudo apt-get update
sudo apt-get install -y build-essential clang llvm bison flex \
    make autoconf libelf-dev

克隆仓库并生成静态二进制：

git clone https://github.com/mozillazg/ptcpdump.git
cd ptcpdump
make build
sudo cp dist/ptcpdump /usr/local/bin/

如果修改过 eBPF 代码，请先重新生成字节码：

make build-bpf
make build

当本地缺少工具链时，可使用 Docker 构建：

make build-via-docker

Linux 内核版本 ≥ 5.2，并启用 BPF/BTF。
/sys/kernel/debug 挂载了 debugfs（可执行 sudo mount -t debugfs none /sys/kernel/debug）。
使用 root 权限或为 ptcpdump 授予 CAP_BPF、CAP_NET_ADMIN 能力（sudo setcap cap_bpf,cap_net_admin=eip /usr/local/bin/ptcpdump）。

更多内核选项及常见问题请参见故障排查。