Red Hat Training

A Red Hat training course is available for RHEL 8

49.7. Rastreamento de sessões TCP

O utilitário tcplife utiliza o eBPF para rastrear sessões TCP que abrem e fecham, e imprime uma linha de saída para resumir cada uma delas. Os administradores podem usar tcplife para identificar as conexões e a quantidade de tráfego transferido.

O exemplo nesta seção descreve como exibir as conexões à porta 22 (SSH) para recuperar as seguintes informações:

  • O ID do processo local (PID)
  • O nome do processo local
  • O endereço IP local e o número da porta
  • O endereço IP remoto e o número da porta
  • A quantidade de tráfego recebido e transmitido em KB.
  • O tempo em milissegundos a conexão estava ativa

Procedimento

  1. Digite o seguinte comando para iniciar o rastreamento das conexões para a porta local 22:

    /usr/share/bcc/tools/tcplife -L 22
    PID   COMM    LADDR      LPORT RADDR       RPORT TX_KB  RX_KB      MS
    19392 sshd    192.0.2.1  22    192.0.2.17  43892    53     52 6681.95
    19431 sshd    192.0.2.1  22    192.0.2.245 43902    81 249381 7585.09
    19487 sshd    192.0.2.1  22    192.0.2.121 43970  6998     7 16740.35
    ...

    Cada vez que uma conexão é fechada, tcplife exibe os detalhes das conexões.

  2. Pressione Ctrl C para interromper o processo de rastreamento.

Recursos adicionais

  • Para mais detalhes, consulte a página de manual tcplife(8).
  • Para mais detalhes sobre tcplife e exemplos, veja o arquivo /usr/share/bcc/tools/doc/tcplife_example.txt.
  • Para exibir o script eBPF tcplife(8) uploads para o kernel, use o comando /usr/share/bcc/tools/tcplife --ebpf.