我想追踪尝试连接到某个端口(在远程主机上)的进程。因此,我发现这auditd对于这类任务非常有用。以下命令指示auditd记录每个连接系统调用:
auditctl -a always,exit -F arch=b64 -S connect
auditctl -a always,exit -F arch=b32 -S connect
然后日志被存储在 中/var/log/audit/。但内容相当复杂。有ausearch一个 可用于过滤日志,但也许你们中有人已经知道如何解决这个问题。
PS 我不想使用 netstat 因为我想查看失败的连接等等。
提前致谢
答案1
Auditd 的日志做捕获进程 ID(参见 Red Hat文档)然而,这些仅来自服务器的为传入的连接请求提供服务的进程。
但是,我认为没有办法从客户因为它一开始就不是通过网络传输的。