В отличие от tcpdump/wirehark вместо отдельных пакетов argus хранит записи состояния потока.

Собрать потоки трафика из интерфейса eth0:

ip addr show
argus -i eth0 -w file.argus

Преобразовать набор пакетов в потоки трафика:

argus -r file.pcap -w file.argus

Посмотреть на собранные потоки:

ra -r file.argus -n

оригинал схемы