Ghi nhật ký kết nối đi khi chúng xảy ra

Có cách nào để đăng nhập để gửi tất cả các kết nối đi mà một quá trình tạo ra không? Tôi biết netstatnhưng dường như đó chỉ là một ảnh chụp nhanh về một thời điểm hơn là một cái gì đó chạy và ghi thông tin trong một khoảng thời gian.

Tôi chỉ cần IP hoặc tên máy chủ, cổng và quá trình thực hiện kết nối.

Trên Linux, bạn có thể thiết lập hệ thống con kiểm toán để ghi lại mọi nỗ lực để thiết lập kết nối mạng. Để biết thông tin về hệ thống phụ kiểm toán, đọc các auditctltrang người đàn ông hoặc hướng dẫn này hoặc ví dụ khác trên trang web này . Cài đặt auditdgói phân phối của bạn nếu cần thiết, sau đó

auditctl -A exit,always -S connect

Các bản ghi nằm trong /var/log/audit/audit.logtất cả các bản phân phối mà tôi biết. Bạn cũng có thể tìm kiếm chúng với ausearch.

Nếu bạn có thể cài đặt kernel tùy chỉnh, bạn nên xem SystemTap . Có rất nhiều ví dụ về cách theo dõi hoạt động của mạng.

Trên Linux, bạn có thể sử dụng ip_conntrackđể thực hiện điều này. Đây là mô-đun theo dõi kết nối, được sử dụng bình thường để giám sát các kết nối cho các giao thức hoạt động kỳ quặc (như FTP) được quản lý bởi hộp tường lửa / NAT.

modprobe ip_conntrack
cat /proc/net/ip_conntrack

Bạn có thể grep tệp giả để xem các kết nối đã được thiết lập và thêm grep IP nguồn để xem khi nào nó bắt nguồn từ hộp của bạn.

Tôi sẽ xem xét sử dụng tcpdumptrên giao diện gửi đi xem xét các SYNyêu cầu gửi đi .

Nếu bạn cảm thấy thực sự mạo hiểm, bạn có thể thực hiện các tiện ích như: stracehoặc trussbáo cáo tất cả các connectcuộc gọi hệ thống trong khi theo dõi việc thực hiện chương trình nhưng điều này nguy hiểm hơn một chút và có những hạn chế khi xử lý các quy trình đa luồng.