ngrep -W byline をつけるとだいぶ便利なので、ついそのままの勢いで-O /tmp/hoge.cap などとしていた。
で後からそのパケット見ようとしたらRST以外のフラグが全部Pになってしまってた？？
保存するときはやはりtcpdump -w file 使った方が良いかな。
保存されるファイルは共通のcap形式なので、ngrepで見たいときは、あとからngrep -I file で読めば良いし。