Mencatat koneksi keluar saat terjadi

Apakah ada cara untuk login ke file semua koneksi keluar yang menciptakan suatu proses? Saya menyadari netstattetapi itu tampaknya lebih merupakan snapshot dari titik waktu daripada sesuatu yang berjalan dan mencatat informasi selama periode.

Saya hanya perlu IP atau nama host, port dan proses membuat koneksi.

Di Linux, Anda dapat mengatur subsistem audit untuk mencatat setiap upaya untuk membuat koneksi jaringan. Untuk informasi tentang subsistem audit, baca auditctlhalaman manual atau tutorial ini atau contoh lain di situs ini . Instal auditdpaket distribusi Anda jika perlu

auditctl -A exit,always -S connect

Log ada di /var/log/audit/audit.logsemua distribusi yang saya tahu. Anda juga dapat mencari mereka dengan ausearch.

Jika Anda dapat menginstal kernel khusus, Anda harus melihat di SystemTap . Ada banyak contoh cara melacak aktivitas jaringan.

Di Linux, Anda dapat menggunakannya ip_conntrackuntuk mencapai hal ini. Ini adalah modul pelacakan koneksi, yang biasanya digunakan untuk memonitor koneksi untuk protokol berperilaku aneh (seperti FTP) yang dikelola oleh firewall / kotak NAT.

modprobe ip_conntrack
cat /proc/net/ip_conntrack

Anda dapat grep file pseudo untuk melihat koneksi yang dibuat, dan selanjutnya grep IP sumber untuk melihat kapan itu berasal dari kotak Anda.

Saya akan melihat ke dalam menggunakan tcpdumppada antarmuka keluar melihat SYNpermintaan keluar .

Jika Anda merasa sangat suka berpetualang, Anda dapat membuat utilitas seperti: straceatau trussmelaporkan semua connectpanggilan sistem saat melacak eksekusi program tetapi ini sedikit lebih berbahaya dan memiliki kelemahan saat berurusan dengan proses multithreaded.