Red Hat Training
A Red Hat training course is available for RHEL 8
49.7. Seguimiento de las sesiones TCP
La utilidad tcplife
utiliza eBPF para rastrear las sesiones TCP que se abren y se cierran, e imprime una línea de salida para resumir cada una. Los administradores pueden utilizar tcplife
para identificar las conexiones y la cantidad de tráfico transferido.
El ejemplo de esta sección describe cómo mostrar las conexiones al puerto 22
(SSH) para recuperar la siguiente información:
- El ID del proceso local (PID)
- El nombre del proceso local
- La dirección IP local y el número de puerto
- La dirección IP y el número de puerto remotos
- La cantidad de tráfico recibido y transmitido en KB.
- El tiempo en milisegundos que la conexión estuvo activa
Procedimiento
Introduzca el siguiente comando para iniciar el seguimiento de las conexiones al puerto local
22
:/usr/share/bcc/tools/tcplife -L 22 PID COMM LADDR LPORT RADDR RPORT TX_KB RX_KB MS 19392 sshd 192.0.2.1 22 192.0.2.17 43892 53 52 6681.95 19431 sshd 192.0.2.1 22 192.0.2.245 43902 81 249381 7585.09 19487 sshd 192.0.2.1 22 192.0.2.121 43970 6998 7 16740.35 ...
Cada vez que se cierra una conexión,
tcplife
muestra los detalles de las conexiones.- Pulse Ctrl C para detener el proceso de rastreo.
Recursos adicionales
-
Para más detalles, consulte la página de manual
tcplife(8)
. -
Para más detalles sobre
tcplife
y ejemplos, consulte el archivo/usr/share/bcc/tools/doc/tcplife_example.txt
. -
Para mostrar la secuencia de comandos eBPF
tcplife(8)
carga al núcleo, utilice el comando/usr/share/bcc/tools/tcplife --ebpf
.