Linux カーネルを使用して、新しい接続、新しいポート、接続されたホストについて何が起こっているかを監視するにはどうすればよいでしょうか。新しいスニファーを作成するなどです。何が起こっているかを知るには、どのファイルを監視すればよいでしょうか。
たとえば、サーバーに SSH 接続がない場合、新しいホストがポート 22 を使用して接続されると、この新しい接続に対してアラートが発生します。ホストが切断されると、別のアラートが実行されます。
答え1
少し漠然としていますが... Netstat は、ローカル マシンの現在開いている接続の状態を表示します。/proc/net には、巧妙な「リアルタイム」操作を実行できるものがあります。また、tcpdump などのプログラムを使用すると、生のパケット ログを取得できます (より具体的な内容に関心がある場合は、フィルターを作成できます)。さらに、パケット ログ分析用の wireshark などのツールもあります。目標が正確に何であるかを教えてください。よりよいアドバイスが得られるかもしれません。
答え2
どの IP が接続されていて、どの接続がネットワーク トラフィックを生成しているかをすぐに確認したい場合は、 を試すことができますiptraf。
アカウンティング、グラフ、リモート監視などのより多くの機能が必要な場合は、 を試してみてください ntop。 Ntopデーモンとして実行され、監視と管理は localhost:3000 のブラウザーで行われます。