记录到程序的连接

除了使用iptables记录传入连接。

有没有办法记录到您没有来源的服务的已建立入站连接（假设该服务本身未记录此类信息）？我想要做的是基于谁的连接来收集一些信息，以告知诸如一天中什么时候使用服务最多，主要用户群在世界上什么地方等信息。

我知道我可以使用netstat它并将其连接到cron脚本，但这可能并不准确，因为该脚本只能运行一分钟。

这是我现在正在想的：

• 编写一个不断轮询的程序netstat，以查找先前轮询中未出现的已建立连接。但是，由于可能没有新的连接，所以这个想法似乎浪费了CPU时间。
• 编写一个包装程序，该程序在服务运行的任何端口上接受入站连接，但是那时我不知道如何将该连接传递给真实的服务。

编辑：我突然想到这个问题可能对stackoverflow更好，尽管我不确定。很抱歉，如果这是错误的地方。

您可以使用iptables记录新连接，从而

iptables -I INPUT -m state --state NEW -j LOG --log-level 1 --log-prefix "New Connection "

这将为新的ssh连接添加一条类似的消息

10月6日10:58:23 centos内核：新连接IN = eth0 OUT = MAC = 00：0c：29：5b：a5：ea：00：0c：29：2d：94：a0：08：00 SRC = 192.168。 1.72 DST = 192.168.254.187 LEN = 52 TOS = 0x00 PREC = 0x00 TTL = 126 ID = 15498 DF PROTO = TCP SPT = 59221 DPT = 22 WINDOW = 8192 RES = 0x00 SYN URGP = 0

或像这样建立新的http连接

10月6日11:03:56 centos内核：新连接IN = eth0 OUT = MAC = 00：0c：29：5b：a5：ea：00：0c：29：d2：2c：38：08：00 SRC = 192.168。 254.188 DST = 192.168.254.187 LEN = 60 TOS = 0x10 PREC = 0x00 TTL = 64 ID = 10345 DF PROTO = TCP SPT = 52488 DPT = 80 WINDOW = 14600 RES = 0x00 SYN URGP = 0

对系统的每个新连接，依此类推。将会记录到系统日志配置为发送kern.warning消息的任何位置。

您可以使用已审核，并最终根据这些日志行计算一些统计信息。或者您也可以使用snmp解决方案，但可能您已经编写了自己的mib

tcpdump或wireshark怎么样？