Log de conexões de saída conforme elas acontecem

Existe uma maneira de registrar para arquivar todas as conexões de saída que um processo cria? Estou ciente, netstatmas isso parece ser mais um instantâneo de um ponto no tempo do que algo que executa e registra informações durante um período.

Eu só preciso do IP ou nome do host, porta e do processo de conexão.

No Linux, você pode configurar o subsistema de auditoria para registrar todas as tentativas de estabelecer uma conexão de rede. Para obter informações sobre o subsistema de auditoria, leia a auditctlpágina de manual ou este tutorial ou outros exemplos neste site . Instale o auditdpacote da sua distribuição, se necessário, e

auditctl -A exit,always -S connect

Os logs estão em /var/log/audit/audit.logtodas as distribuições que eu conheço. Você também pode procurá-los com ausearch.

Se você conseguir instalar um kernel personalizado, consulte o SystemTap . Existem muitos exemplos de como rastrear a atividade da rede.

No Linux, você pode usar ip_conntrackpara fazer isso. É um módulo de rastreamento de conexão, usado normalmente para monitorar conexões de protocolos de comportamento estranho (como FTP) a serem gerenciados por um firewall / caixa NAT.

modprobe ip_conntrack
cat /proc/net/ip_conntrack

Você pode fazer o grep do pseudo arquivo para ver as conexões estabelecidas e o IP de origem para ver quando ele se origina da sua caixa.

Gostaria de usar tcpdumpa interface de saída para analisar as SYNsolicitações de saída .

Se você se sentir realmente aventureiro, poderá criar utilitários como: straceou trussrelatar todas as connectchamadas do sistema enquanto rastreia a execução do programa, mas isso é um pouco mais perigoso e tem desvantagens ao lidar com processos multithread.