Como usar o kernel do Linux para supervisionar o que está acontecendo, sobre as novas conexões, novas portas, hosts conectados? Como se eu fizesse um novo farejador. Quais arquivos devo monitorar para saber o que está acontecendo.
Por exemplo, se um servidor não tiver conexões ssh, então um novo host está conectado usando a porta 22, quero receber um alerta para esta nova conexão. Se o host estiver desconectado, outro alerta será executado.
Responder1
Um pouco vago, mas ... O Netstat mostra o status das conexões atualmente abertas para a máquina local, há coisas em /proc/net nas quais você pode fazer algumas coisas inteligentes em 'tempo real' ou há programas como o tcpdump que fornecerá pacotes brutos logs (você pode criar um filtro se estiver interessado em coisas mais específicas), junto com ferramentas como wireshark para análise de log de pacotes. Qual é exatamente o seu objetivo, pode ajudar a aconselhar melhor.
Responder2
Se for apenas para ter uma visão instantânea de qual IP está conectado e qual conexão está gerando tráfego de rede, você pode tentar iptraf.
Se você quiser mais recursos como contabilidade, gráficos e monitoramento remoto, você pode tentar ntop. Ntopfunciona como deamon, o monitoramento e a administração são feitos com um navegador em localhost:3000.