Отслеживайте процессы, которые соединяются через tcp (на определенных портах), используя audd (в GNU / Linux)

528
user2543740

Я хотел бы отслеживать процессы, которые пытаются подключиться к определенному порту (на удаленном хосте). Итак, я обнаружил, что auditdэто очень мощный инструмент для решения подобных задач. Следующая команда дает указание auditdрегистрировать каждый системный вызов connect:

auditctl -a always,exit -F arch=b64 -S connect auditctl -a always,exit -F arch=b32 -S connect

Журнал затем сохраняется в /var/log/audit/. Но содержание довольно сложное. Есть что- ausearchто, что можно использовать для фильтрации журнала, но, возможно, кто-то из вас уже знает, как это решить.

PS Я не хочу использовать netstat, потому что я хочу видеть даже неудачные соединения и т.д ..

заранее спасибо

0
Что такое ** неудачное соединение **? Если вы думаете о порте 80/443, то такого нет. Если вместо этого вы думаете о * ssh / ftp / telnet * соединениях, вам ** не ** нужен * auditd *, вся информация, которую вы когда-либо сможете получить, находится в * / var / log / auth.log *. MariusMatutiae 7 лет назад 0
С ** неудавшимся соединением ** я имею в виду, когда программа пытается установить соединение TCP и получить флаг RST в ответе TCP или просто нет ответа ... Я хочу отследить попытку установить соединения (от локального до другого) на определенных портах user2543740 7 лет назад 0
На вашем месте я бы использовал * iptables * ´ LOG очередь. MariusMatutiae 7 лет назад 1
спасибо, кажется хорошей идеей, но как мне указать лог процесса ID или аналогичный? Я посмотрел вверх, но, кажется, никто не делает этого user2543740 7 лет назад 0

0 ответов на вопрос

Похожие вопросы