発生した発信接続のロギング

Question

プロセスが作成するすべての発信接続をログに記録する方法はありますか？私はnetstatを知っていますが、これは、一定期間にわたって情報を実行および記録するものというよりは、ある時点のスナップショットのようです。

IPまたはホスト名、ポート、接続を確立するプロセスのみが必要です。

Gilles &#39;SO- stop being evil&#39; · Answer

Linuxでは、監査サブシステムを設定して、ネットワーク接続を確立するすべての試行をログに記録できます。監査サブシステムの詳細については、 auditctl manページまたはこのチュートリアルまたはこのサイトの他の例を参照してください。必要に応じてディストリビューションのauditdパッケージをインストールし、

auditctl -A exit,always -S connect

ログは、私が知っているすべてのディストリビューションの/var/log/audit/audit.logにあります。それらを検索するでausearchを使用することもできます。

auditctl -A exit,always -S connect

ログは、私が知っているすべてのディストリビューションの/var/log/audit/audit.logにあります。それらを検索するでausearchを使用することもできます。

Lars Kotthoff · Answer

カスタムカーネルをインストールできる場合は、 SystemTap を確認してください。たくさんの examples ネットワークアクティビティを追跡する方法があります。

Sean C. · Answer

Linuxでは ip_conntrack これを実現します。これは接続追跡モジュールであり、ファイアウォール/ NATボックスによって管理される異常に動作するプロトコル（FTPなど）の接続を監視するために通常使用されます。

modprobe ip_conntrack cat /proc/net/ip_conntrack

疑似ファイルをgrepして確立された接続を確認し、さらにソースIPをgrepしてボックスから発信された時期を確認できます。

Karlson · Answer

アウトバウンドtcpdumpリクエストを確認するアウトバウンドインターフェースでSYNを使用することを検討します。

冒険的な気分なら、次のようなユーティリティを作成できます。straceまたはtrussプログラムの実行をトレースしながらすべてのconnectシステムコールを報告します。