Red Hat Training

A Red Hat training course is available for RHEL 8

53.12. 確立された TCP 接続の追跡

tcptracer ユーティリティーは、TCP 接続を接続、許可、および閉じるカーネル機能を追跡します。このユーティリティーは eBPF 機能を使用するため、オーバーヘッドが非常に低くなります。

手順

  1. 次のコマンドを実行して、トレースプロセスを開始します。

    # /usr/share/bcc/tools/tcptracer
    Tracing TCP established connections. Ctrl-C to end.
    T  PID    COMM        IP SADDR        DADDR       SPORT  DPORT
    A  1088   ns-slapd    4  192.0.2.153  192.0.2.1   0      65535
    A  845    sshd        4  192.0.2.1    192.0.2.67  22     42302
    X  4502   sshd        4  192.0.2.1    192.0.2.67  22     42302
    ...

    カーネルが接続を開始し、受け入れ、または閉じるたびに、tcptracer は、接続の詳細を表示します。

  2. Ctrl+C を押して、追跡プロセスを停止します。

関連情報

  • 詳細は、man ページの tcptracer(8) を参照してください。
  • tcptracer および例の詳細は、/usr/share/bcc/tools/doc/tcptracer_example.txt ファイルを参照してください。
  • tcptracer(8) がカーネルにアップロードする eBPF スクリプトを表示するには、/usr/share/bcc/tools/tcptracer --ebpf コマンドを使用します。