我尝试使用该实用程序连续监控 CentOS 7 机器上的 TCP 连接ss。如果我启动,ss --events则不会收到任何事件。有什么技巧可以启用此功能吗?或者 CentOS 7 中的内核 (3.10) 是否太旧而不适合进行此练习?
答案1
以下是相关提交:
ss:包括套接字销毁事件的 -E 选项
使用 NETLINK_SOCK_DIAG 的 IPv4/IPv6/TCP/UDP 多播组来过滤和显示被破坏的套接字统计信息。
内核支持补丁系列:24029a3603cfa633e8bc2b3fb3e48e76c497831d
签名人:Craig Gallek[电子邮件保护]
合并分支“sock_diag_destruction_events”
克雷格·加莱克说道:
=====================
通过 netlink sock_diag 的套接字销毁事件本系列扩展了 netlink sock_diag 接口,以便在套接字被销毁时广播套接字信息。当前接口是基于轮询的,不能用于检索轮询间隔期间被销毁的套接字的信息。
[...]
这已包含在 Linux 内核 4.2 中。
虽然 Red Hat 反向移植了旧内核中的许多功能,但从 OP 的问题来看,该功能似乎在 CentOS 7 的内核 3.10 中不可用。