発信接続を発生時に記録する

プロセスが作成するすべての発信接続をファイルに記録する方法はありますか？私は承知していますがnetstat、それはある期間の情報を実行して記録するものというよりも、ある時点のスナップショットのようです。

IPまたはホスト名、ポート、および接続を確立するプロセスのみが必要です。

Linuxでは、ネットワーク接続を確立するすべての試行を記録するように監査サブシステムを設定できます。監査サブシステムの詳細については、このサイトのauditctlmanページまたはこのチュートリアルまたは他の例を参照してください。auditd必要に応じてディストリビューションのパッケージをインストールしてから、

auditctl -A exit,always -S connect

ログは、/var/log/audit/audit.log私が知っているすべてのディストリビューションに記録されています。あなたもすることができ、それらを検索するとausearch。

カスタムカーネルをインストールできる場合は、SystemTapをご覧ください。ネットワークアクティビティをトレースする方法の例はたくさんあります。

Linuxでは、ip_conntrackこれを実現するために使用できます。これは、ファイアウォール/ NATボックスによって管理される奇妙に動作するプロトコル（FTPなど）の接続を監視するために通常使用される接続追跡モジュールです。

modprobe ip_conntrack
cat /proc/net/ip_conntrack

疑似ファイルをgrepして確立された接続を確認し、さらにソースIPをgrepして、ボックスから発信されたものを確認できます。

私はtcpdump、アウトバウンドSYNリクエストを見て、アウトバウンドインターフェースでの使用を検討します。

本当に冒険したい場合は、次のようなユーティリティを作成するstraceか、プログラムの実行をトレースしながらtrussすべてのconnectシステムコールを報告できますが、これはもう少し危険であり、マルチスレッドプロセスを処理する際に欠点があります。