Red Hat Training

A Red Hat training course is available for RHEL 8

49.7. Seguimiento de las sesiones TCP

La utilidad tcplife utiliza eBPF para rastrear las sesiones TCP que se abren y se cierran, e imprime una línea de salida para resumir cada una. Los administradores pueden utilizar tcplife para identificar las conexiones y la cantidad de tráfico transferido.

El ejemplo de esta sección describe cómo mostrar las conexiones al puerto 22 (SSH) para recuperar la siguiente información:

  • El ID del proceso local (PID)
  • El nombre del proceso local
  • La dirección IP local y el número de puerto
  • La dirección IP y el número de puerto remotos
  • La cantidad de tráfico recibido y transmitido en KB.
  • El tiempo en milisegundos que la conexión estuvo activa

Procedimiento

  1. Introduzca el siguiente comando para iniciar el seguimiento de las conexiones al puerto local 22: 

    /usr/share/bcc/tools/tcplife -L 22
PID   COMM    LADDR      LPORT RADDR       RPORT TX_KB  RX_KB      MS
19392 sshd    192.0.2.1  22    192.0.2.17  43892    53     52 6681.95
19431 sshd    192.0.2.1  22    192.0.2.245 43902    81 249381 7585.09
19487 sshd    192.0.2.1  22    192.0.2.121 43970  6998     7 16740.35
...

    Cada vez que se cierra una conexión, tcplife muestra los detalles de las conexiones.

  2. Pulse Ctrl C para detener el proceso de rastreo.

Recursos adicionales

  • Para más detalles, consulte la página de manual tcplife(8).
  • Para más detalles sobre tcplife y ejemplos, consulte el archivo /usr/share/bcc/tools/doc/tcplife_example.txt.
  • Para mostrar la secuencia de comandos eBPF tcplife(8) carga al núcleo, utilice el comando /usr/share/bcc/tools/tcplife --ebpf.