Sprawdzanie po

savage · Post autor: **savage** » 29 listopada 2010, 10:46

Witam.
Mam pytanie - jak sprawdzić na serwerze z czym on się łączy (łączył). Z jakimi adresami IP itd.?
Mam bardzo duży ruch na serwerze, ale nie wiem jak sprawdzić z jakim IP się łączy (łączył).

Dziękuję za odpowiedź.

Unit · Post autor: **Unit** » 29 listopada 2010, 11:41

Kod: Zaznacz cały

netstat -tapnl

lub

Kod: Zaznacz cały

jnettop -i eth0

savage · Post autor: **savage** » 29 listopada 2010, 11:46

Czy tymi komendami sprawdzę również historię połączeń ? Bo o to mi się rozchodzi najbardziej. Z jakimi adresami się łączył. Jaki kraj itp.

Unit · Post autor: **Unit** » 29 listopada 2010, 11:57

Tymi komendami tylko aktualne połączenia, historie tylko z logów danego serwisu.

savage · Post autor: **savage** » 29 listopada 2010, 11:58

No właśnie - a gdzie takie logi się znajdują? Jest jakieś konkretne miejsce? Wiem, że niektóre logi są w ../var/log.

Bastian · Post autor: **Bastian** » 30 listopada 2010, 14:57

Konkretne to własnie /varlog/ i tam będziesz miał logi dotyczące konkretnych programów . Jeśli chcesz logować ruch na interfesie to zainstaluj np iptraf, który docelowo w /var/log/iptraf.log zrzuci tobie taki dziennik. Kolega wspominał o netstat, on też pokaże Tobie aktualne połączenia. Możesz też podsłuchać ruch i zapisać wynik poprzez

Kod: Zaznacz cały

tcpdump > tcpdump.log

Innym sposobem jest logowanie ruchu na iptables np:

Kod: Zaznacz cały

iptables -A INPUT -m --limit 5/minute -j LOG --log-prefix "Przychodzacy:"

Kod: Zaznacz cały

iptables -A OUTPUT -m --limit 5/minute -j LOG --log-prefix "Wychodzacy:"

Taki log powinien bodajże zapisać się w var/log/auth.log

Sprawdzanie po

Sprawdzanie połączeń serwera