我有一些iptables以下格式的日志:
Apr 11 01:11:26 ip-172-26-2-101 kernel: [297330.912420] IN=eth0 OUT= MAC=02:ec:af:b6:94:ab:02:9e:70:8b:fd:38:08:00 SRC=169.254.169.254 DST=172.26.2.101 LEN=1897 TOS=0x00 PREC=0x00 TTL=255 ID=6058 DF PROTO=TCP SPT=80 DPT=38118 WINDOW=488 RES=0x00 ACK PSH URGP=0
Apr 11 01:11:26 ip-172-26-2-101 kernel: [297330.912443] IN=eth0 OUT= MAC=02:ec:af:b6:94:ab:02:9e:70:8b:fd:38:08:00 SRC=169.254.169.254 DST=172.26.2.101 LEN=52 TOS=0x00 PREC=0x00 TTL=255 ID=6059 DF PROTO=TCP SPT=80 DPT=38118 WINDOW=488 RES=0x00 ACK FIN URGP=0
Apr 11 01:11:26 ip-172-26-2-101 kernel: [297330.913183] IN=eth0 OUT= MAC=02:ec:af:b6:94:ab:02:9e:70:8b:fd:38:08:00 SRC=169.254.169.254 DST=172.26.2.101 LEN=52 TOS=0x00 PREC=0x00 TTL=255 ID=6060 DF PROTO=TCP SPT=80 DPT=38118 WINDOW=488 RES=0x00 ACK URGP=0
Apr 11 01:11:26 ip-172-26-2-101 kernel: [297330.913354] IN=lo OUT= MAC=00:00:00:00:00:00:00:00:00:00:00:00:08:00 SRC=127.0.0.1 DST=127.0.0.53 LEN=73 TOS=0x00 PREC=0x00 TTL=64 ID=35238 DF PROTO=UDP SPT=35960 DPT=53 LEN=53
Apr 11 01:11:26 ip-172-26-2-101 kernel: [297330.913789] IN=lo OUT= MAC=00:00:00:00:00:00:00:00:00:00:00:00:08:00 SRC=127.0.0.1 DST=127.0.0.53 LEN=73 TOS=0x00 PREC=0x00 TTL=64 ID=43410 DF PROTO=UDP SPT=58295 DPT=53 LEN=53
Apr 11 01:12:44 ip-172-26-2-101 kernel: [297409.163874] IN=eth0 OUT= MAC=02:ec:af:b6:94:ab:02:9e:70:8b:fd:38:08:00 SRC=169.254.169.123 DST=172.26.2.101 LEN=76 TOS=0x00 PREC=0x00 TTL=255 ID=60695 DF PROTO=UDP SPT=123 DPT=48765 LEN=56
Apr 11 01:13:00 ip-172-26-2-101 kernel: [297425.271004] IN=eth0 OUT= MAC=02:ec:af:b6:94:ab:02:9e:70:8b:fd:38:08:00 SRC=169.254.169.123 DST=172.26.2.101 LEN=76 TOS=0x00 PREC=0x00 TTL=255 ID=60931 DF PROTO=UDP SPT=123 DPT=50534 LEN=56
正如您所看到的,某些行有多个LEN条目。这意味着什么?
答案1
根据这个论坛帖子,日志中的多个LEN条目iptables意味着第一个条目是整个 IP 数据包的大小,任何其他条目都是单个协议(如 UDP)的数据包大小的细分。
因此,如果您尝试执行与计算一段时间或类似时间段内的总数据吞吐量相关的任何操作,请使用每行中的第一个值!