Linuxシステムで実行されているプロセスまたはサービスがリモートIPに接続されているかどうかを識別するのが困難です。リモートIPポート80 HTTP Tomcat管理ページにアクセスするネットワークに関する苦情が届きました。
以下のtcpdumpを使用して、苦情を受け取ったIPアドレスに送信する要求が行われていることがわかりましたが、どのプロセスが要求を生成したかを判断できませんでした。
tcpdump -vvv -i ens192 src 192.168.23.4 および dst ポート 80
Linux centos7環境で特定のIPに接続しようとするプロセスを見つける方法
ベストアンサー1
auditdすべてのconnect()システムコールを記録できます。
sudo auditctl -a exit,always -F arch=b64 -S connect
次に接続を観察し、次を使用してログを取得します。
sudo ausearch -i -sc connect | grep -wC2 lport=80