43.6. TCP セッションのトレース
tcplife
ユーティリティーは eBPF を使用して、開いて閉じる TCP セッションを追跡し、出力を 1 行で出力してそれぞれを要約します。管理者は tcplife
を使用して、接続と転送されたトラフィック量を特定できます。
たとえば、ポート 22
(SSH) への接続を表示して、以下の情報を取得できます。
- ローカルプロセス ID (PID)
- ローカルプロセス名
- ローカルの IP アドレスおよびポート番号
- リモートの IP アドレスおよびポート番号
- 受信および送信トラフィックの量 (KB 単位)
- 接続がアクティブであった時間 (ミリ秒単位)
手順
次のコマンドを実行して、ローカルポート
22
への接続の追跡を開始します。# /usr/share/bcc/tools/tcplife -L 22 PID COMM LADDR LPORT RADDR RPORT TX_KB RX_KB MS 19392 sshd 192.0.2.1 22 192.0.2.17 43892 53 52 6681.95 19431 sshd 192.0.2.1 22 192.0.2.245 43902 81 249381 7585.09 19487 sshd 192.0.2.1 22 192.0.2.121 43970 6998 7 16740.35 ...
接続が閉じられるたびに、
tcplife
は接続の詳細を表示します。- Ctrl+C を押して、追跡プロセスを停止します。
関連情報
-
システム上の
tcplife(8)
man ページ -
/usr/share/bcc/tools/doc/tcplife_example.txt
ファイル