Ghi nhật ký kết nối đi khi chúng xảy ra


23

Có cách nào để đăng nhập để gửi tất cả các kết nối đi mà một quá trình tạo ra không? Tôi biết netstatnhưng dường như đó chỉ là một ảnh chụp nhanh về một thời điểm hơn là một cái gì đó chạy và ghi thông tin trong một khoảng thời gian.

Tôi chỉ cần IP hoặc tên máy chủ, cổng và quá trình thực hiện kết nối.


1
Chà, bạn có thể làm một cái gì đó như watch -n 2 netstattrong lúc này, nhưng đó không phải là một giải pháp thích hợp, phải không.
Ulrich Schwarz

1
[Chủ đề này] [1] sẽ trả lời câu hỏi của bạn [1]: superuser.com/questions/34782/iêu
Mẫu cuộc sống ngoài hành tinh

Câu trả lời:


15

Trên Linux, bạn có thể thiết lập hệ thống con kiểm toán để ghi lại mọi nỗ lực để thiết lập kết nối mạng. Để biết thông tin về hệ thống phụ kiểm toán, đọc các auditctltrang người đàn ông hoặc hướng dẫn này hoặc ví dụ khác trên trang web này . Cài đặt auditdgói phân phối của bạn nếu cần thiết, sau đó

auditctl -A exit,always -S connect

Các bản ghi nằm trong /var/log/audit/audit.logtất cả các bản phân phối mà tôi biết. Bạn cũng có thể tìm kiếm chúng với ausearch.


3
Tôi cần xác định quá trình nào đang tạo kết nối đi. Điều này đã làm nó ngay lập tức. Để tránh làm ngập khúc gỗ, hãy xóa quy tắc sau:auditctl -d exit,always -S connect
Michael Hampton

Làm thế nào để tôi kiểm tra các bản ghi?
luckydonald

@luckydonaldless /var/log/audit/audit.log
Gilles 'SO- ngừng trở nên xấu xa'


3

Trên Linux, bạn có thể sử dụng ip_conntrackđể thực hiện điều này. Đây là mô-đun theo dõi kết nối, được sử dụng bình thường để giám sát các kết nối cho các giao thức hoạt động kỳ quặc (như FTP) được quản lý bởi hộp tường lửa / NAT.

modprobe ip_conntrack
cat /proc/net/ip_conntrack

Bạn có thể grep tệp giả để xem các kết nối đã được thiết lập và thêm grep IP nguồn để xem khi nào nó bắt nguồn từ hộp của bạn.


Câu hỏi có thể không nhất thiết phải là trung tâm của Linux.
Karlson

0

Tôi sẽ xem xét sử dụng tcpdumptrên giao diện gửi đi xem xét các SYNyêu cầu gửi đi .

Nếu bạn cảm thấy thực sự mạo hiểm, bạn có thể thực hiện các tiện ích như: stracehoặc trussbáo cáo tất cả các connectcuộc gọi hệ thống trong khi theo dõi việc thực hiện chương trình nhưng điều này nguy hiểm hơn một chút và có những hạn chế khi xử lý các quy trình đa luồng.

Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.