Отследите процессы, которые соединяются через tcp (на определенных портах), используя audd (в GNU/Linux)

Question

Отследите процессы, которые соединяются через tcp (на определенных портах), используя audd (в GNU/Linux)

Я хотел бы отслеживать процессы, которые пытаются подключиться к определенному порту (на удаленном хосте). Итак, я обнаружил, что auditd очень мощный для такого рода задач. Следующая команда инструктирует auditd регистрировать каждый системный вызов connect:

auditctl -a always,exit -F arch=b64 -S connect
auditctl -a always,exit -F arch=b32 -S connect

Журнал затем сохраняется в /var/log/audit/, Но содержание довольно сложное. Там в ausearch это можно использовать для фильтрации журнала, но, возможно, кто-то из вас уже знает, как решить эту проблему.

PS Я не хочу использовать netstat, потому что я хочу видеть даже неудачные соединения и т.д..

заранее спасибо

1

linux networking tcp gnu auditd

Источник

user2543740 02 дек '16 в 18:26

0 ответов

Другие вопросы по тегам linux networking tcp gnu auditd

Jomah 01 май '20 в 06:37 2020-05-01 06:37 · Answer 1 · 2020-05-01 06:37

Журналы Auditd в делать идентификаторы процессов захвата (см Red Hat в документации). Однако они исходили только от процессов сервера, обслуживающих входящие запросы на соединение.

Однако я не верю, что существует способ получить PID неудачных или успешных соединений от клиентов, поскольку он изначально не передается по сети.