https://www.rutron.net/posts/2203/bcc-tcplife-usage/

这篇文档主要演示了 tcplife(Linux eBPF/bcc) 工具的使用.

示例

tcplife 总结了在跟踪期间打开和关闭的 TCP 会话. 比如:

# ./tcplife

PID   COMM       LADDR           LPORT RADDR           RPORT TX_KB RX_KB MS

22597 recordProg 127.0.0.1       46644 127.0.0.1       28527     0     0 0.23

3277  redis-serv 127.0.0.1       28527 127.0.0.1       46644     0     0 0.28

22598 curl       100.66.3.172    61620 52.205.89.26    80        0     1 91.79

22604 curl       100.66.3.172    44400 52.204.43.121   80        0     1 121.38

22624 recordProg 127.0.0.1       46648 127.0.0.1       28527     0     0 0.22

3277  redis-serv 127.0.0.1       28527 127.0.0.1       46648     0     0 0.27

22647 recordProg 127.0.0.1       46650 127.0.0.1       28527     0     0 0.21

3277  redis-serv 127.0.0.1       28527 127.0.0.1       46650     0     0 0.26

[...]

这捕获了一个程序 “recordProg”, 它建立了一些到 “redis-serv” 的短暂的 TCP 连接, 每个连接持续大约 0.25 毫秒. 还有几个 “curl” 会话也被跟踪, 连接到端口 80, 持续了 91 和 121 毫秒.

此工具对于工作负载表征和流量统计很有用: 识别正在发生的连接以及传输的字节.

在这个例子中, 我上传了一个 10 Mbyte 的文件到服务器, 然后再次使用 scp 下载:

# ./tcplife

PID   COMM       LADDR           LPORT RADDR           RPORT TX_KB RX_KB MS

7715  recordProg 127.0.0.1       50894 127.0.0.1       28527     0     0 0.25

3277  redis-serv 127.0.0.1       28527 127.0.0.1       50894     0     0 0.30

7619  sshd       100.66.3.172    22    100.127.64.230  63033     5 10255 3066.79

7770  recordProg 127.0.0.1       50896 127.0.0.1       28527     0     0 0.20

3277  redis-serv 127.0.0.1       28527 127.0.0.1       50896     0     0 0.24

7793  recordProg 127.0.0.1       50898 127.0.0.1       28527     0     0 0.23

3277  redis-serv 127.0.0.1       28527 127.0.0.1       50898     0     0 0.27

7847  recordProg 127.0.0.1       50900 127.0.0.1       28527     0     0 0.24

3277  redis-serv 127.0.0.1       28527 127.0.0.1       50900     0     0 0.29

7870  recordProg 127.0.0.1       50902 127.0.0.1       28527     0     0 0.29

3277  redis-serv 127.0.0.1       28527 127.0.0.1       50902     0     0 0.30

7798  sshd       100.66.3.172    22    100.127.64.230  64925 10265     6 2176.15

[...]

可以看到 sshd 接收了 10 MB, 然后再传输出去. 看起来, 接收(3.07 秒)比传输(2.18 秒)慢.

宽显

进程名称被截断为 10 个字符. 通过使用宽选项 -w, 列宽变为 16 个字符. IP 地址栏也更宽, 以适合 IPv6 地址:

# ./tcplife -w

PID   COMM             IP LADDR                      LPORT RADDR                      RPORT  TX_KB  RX_KB MS

26315 recordProgramSt  4  127.0.0.1                  44188 127.0.0.1                  28527      0      0 0.21

3277  redis-server     4  127.0.0.1                  28527 127.0.0.1                  44188      0      0 0.26

26320 ssh              6  fe80::8a3:9dff:fed5:6b19   22440 fe80::8a3:9dff:fed5:6b19   22         1      1 457.52

26321 sshd             6  fe80::8a3:9dff:fed5:6b19   22    fe80::8a3:9dff:fed5:6b19   22440      1      1 458.69

26341 recordProgramSt  4  127.0.0.1                  44192 127.0.0.1                  28527      0      0 0.27

3277  redis-server     4  127.0.0.1                  28527 127.0.0.1                  44192      0      0 0.32

添加时间戳

可以使用 -t 添加时间戳:

# ./tcplife -t

TIME(s)   PID   COMM       LADDR           LPORT RADDR           RPORT TX_KB RX_KB MS

0.000000  5973  recordProg 127.0.0.1       47986 127.0.0.1       28527     0     0 0.25

0.000059  3277  redis-serv 127.0.0.1       28527 127.0.0.1       47986     0     0 0.29

1.022454  5996  recordProg 127.0.0.1       47988 127.0.0.1       28527     0     0 0.23

1.022513  3277  redis-serv 127.0.0.1       28527 127.0.0.1       47988     0     0 0.27

2.044868  6019  recordProg 127.0.0.1       47990 127.0.0.1       28527     0     0 0.24

2.044924  3277  redis-serv 127.0.0.1       28527 127.0.0.1       47990     0     0 0.28

3.069136  6042  recordProg 127.0.0.1       47992 127.0.0.1       28527     0     0 0.22

3.069204  3277  redis-serv 127.0.0.1       28527 127.0.0.1       47992     0     0 0.28

这表明 recordProg 进程每秒连接一次.

另外 -T 选项可以使用 HH:MM:SS 格式时间戳.

逗号分隔列表

-s 选项可以指定逗号分隔的列表模式. 这里同时使用了 -t 和 -T 类型的时间戳:

# ./tcplife -stT

TIME,TIME(s),PID,COMM,IP,LADDR,LPORT,RADDR,RPORT,TX_KB,RX_KB,MS

23:39:38,0.000000,7335,recordProgramSt,4,127.0.0.1,48098,127.0.0.1,28527,0,0,0.26

23:39:38,0.000064,3277,redis-server,4,127.0.0.1,28527,127.0.0.1,48098,0,0,0.32

23:39:39,1.025078,7358,recordProgramSt,4,127.0.0.1,48100,127.0.0.1,28527,0,0,0.25

23:39:39,1.025141,3277,redis-server,4,127.0.0.1,28527,127.0.0.1,48100,0,0,0.30

23:39:41,2.040949,7381,recordProgramSt,4,127.0.0.1,48102,127.0.0.1,28527,0,0,0.24

23:39:41,2.041011,3277,redis-server,4,127.0.0.1,28527,127.0.0.1,48102,0,0,0.29

23:39:42,3.067848,7404,recordProgramSt,4,127.0.0.1,48104,127.0.0.1,28527,0,0,0.30

23:39:42,3.067914,3277,redis-server,4,127.0.0.1,28527,127.0.0.1,48104,0,0,0.35

[...]

端口过滤

还有过滤本地/远端端口的选项. 这里就过滤了本地 22 和 80 端口.

# ./tcplife.py -L 22,80

PID   COMM       LADDR           LPORT RADDR           RPORT TX_KB RX_KB MS

8301  sshd       100.66.3.172    22    100.127.64.230  58671     3     3 1448.52

[...]

USAGE 说明

# ./tcplife.py -h

usage: tcplife.py [-h] [-T] [-t] [-w] [-s] [-p PID] [-L LOCALPORT]

                  [-D REMOTEPORT] [-4 | -6]

跟踪 TCP 会话的生命周期并进行总结

optional arguments:

  -h, --help            show this help message and exit

  -T, --time            include time column on output (HH:MM:SS)

  -t, --timestamp       include timestamp on output (seconds)

  -w, --wide            wide column output (fits IPv6 addresses)

  -s, --csv             comma separated values output

  -p PID, --pid PID     trace this PID only

  -L LOCALPORT, --localport LOCALPORT

                        comma-separated list of local ports to trace.

  -D REMOTEPORT, --remoteport REMOTEPORT

                        comma-separated list of remote ports to trace.

  -4, --ipv4            trace IPv4 family only

  -6, --ipv6            trace IPv6 family only

examples:

    ./tcplife           # trace all TCP connect()s

    ./tcplife -t        # include time column (HH:MM:SS)

    ./tcplife -w        # wider columns (fit IPv6)

    ./tcplife -stT      # csv output, with times & timestamps

    ./tcplife -p 181    # only trace PID 181

    ./tcplife -L 80     # only trace local port 80

    ./tcplife -L 80,81  # only trace local ports 80 and 81

    ./tcplife -D 80     # only trace remote port 80

    ./tcplife -4        # only trace IPv4 family

    ./tcplife -6        # only trace IPv6 family

[转帖]tcplife的使用的更多相关文章

  1. nginx负载均衡基于ip_hash的session粘帖

    nginx负载均衡基于ip_hash的session粘帖 nginx可以根据客户端IP进行负载均衡,在upstream里设置ip_hash,就可以针对同一个C类地址段中的客户端选择同一个后端服务器,除 ...

  2. [转帖]网络协议封封封之Panabit配置文档

    原帖地址:http://myhat.blog.51cto.com/391263/322378

  3. [转帖]零投入用panabit享受万元流控设备——搭建篇

    原帖地址:http://net.it168.com/a2009/0505/274/000000274918.shtml 你想合理高效的管理内网流量吗?你想针对各个非法网络应用与服务进行合理限制吗?你是 ...

  4. 3d数学总结帖

    3d数学总结帖,以下是对3d学习过程中数学知识的简单总结 角度值和弧度制的互转 Deg2Rad 角度A1转弧度A2 => A2=A1*PI/180 Rad2Deg 弧度A2转换角度A1 => ...

  5. [转帖]The Lambda Calculus for Absolute Dummies (like myself)

    Monday, May 7, 2012 The Lambda Calculus for Absolute Dummies (like myself)   If there is one highly ...

  6. [转帖]FPGA开发工具汇总

    原帖:http://blog.chinaaet.com/yocan/p/5100017074 ----------------------------------------------------- ...

  7. [Android分享] 【转帖】Android ListView的A-Z字母排序和过滤搜索功能

      感谢eoe社区的分享   最近看关于Android实现ListView的功能问题,一直都是小伙伴们关心探讨的Android开发问题之一,今天看到有关ListView实现A-Z字母排序和过滤搜索功能 ...

  8. AxureRP7.0各类交互效果汇总帖(转)

    了便于大家参考,我把这段时间发布分享的所有关于AxureRP7.0的原型做了整理. 以下资源均有对应的RP源文件可以下载. 当然 ,其中有部分是需要通过完成解密游戏[攻略]才能得到下载地址或者下载密码 ...

  9. 未能加载文件或程序集“Newtonsoft.Json, Version=4.0.0.0, Culture=neutral, PublicKeyToken=30a [问题点数:40分,结帖人u010259408]

    未能加载文件或程序集“Newtonsoft.Json, Version=4.0.0.0, Culture=neutral, PublicKeyToken=30a [问题点数:40分,结帖人u01025 ...

  10. 转帖-[教程] Win7精简教程(简易中度)2016年8月-0day

    [教程] Win7精简教程(简易中度)2016年8月 0day 发表于 2016-8-19 16:08:41  https://www.itsk.com/thread-370260-1-1.html ...

随机推荐

  1. 梳理Langchain-Chatchat-UI接口文档

      在 Langchain-Chatchat v0.1.17 版本及以前是有前后端分离的 Vue 项目的,但是 v0.2.0 后就没有了.所以本文使用的是 Langchain-Chatchat v0. ...

  2. HTTP安全头部对jsp页面不生效

    本文于2016年4月底完成,发布在个人博客网站上. 考虑个人博客因某种原因无法修复,于是在博客园安家,之前发布的文章逐步搬迁过来. 诡异的问题 AppScan扫描报告中提示,Web服务器返回js.cs ...

  3. Azure Data Factory(十一)Data Flow 的使用解析

    一,引言 上一篇文字,我们初步对 Data Flow 有个简单的了解,也就是说可以使用 Data Flow 完成一些复杂的逻辑,如,数据计算,数据筛选,数据清洗,数据整合等操作,那我们今天就结合 Da ...

  4. 2023-11-29:用go语言,给你一个字符串 s ,请你去除字符串中重复的字母,使得每个字母只出现一次。 需保证 返回结果的字典序最小。 要求不能打乱其他字符的相对位置)。 输入:s = “cba

    2023-11-29:用go语言,给你一个字符串 s ,请你去除字符串中重复的字母,使得每个字母只出现一次. 需保证 返回结果的字典序最小. 要求不能打乱其他字符的相对位置). 输入:s = &quo ...

  5. JVM学习-类加载机制

    文章原文:https://gaoyubo.cn/blogs/4b481fd7.html 一.类加载机制 在JVM学习-Class文件结构中,讲了Class文件存储格式的具体细节.虽然Class文件中描 ...

  6. 让“物”能说会道,揭晓华为云IOT黑科技

    什么是物联网?如何让"物"说话? 如今是一个万物互联的时代,物联网已经成为一个高大上的名词,那什么是物联网呢?从人与人之间的连接来看,指的是人们之间的通话.视频.进入智能时代以后, ...

  7. 再获殊荣!华为云GaussDB喜提“科技进步一等奖”

    摘要:近日,中国电子学会科学技术奖励大会颁发了2021-2022年度中国电子学会科学技术奖获奖项目,华为云主导的"GaussDB智能云原生分布式数据库"项目荣获"科技进步 ...

  8. 教你如何优雅的改写“if-else”

    摘要:这些场景,你是怎么写的代码? if-else,这是个再正常不过的coding习惯,当我们代码量小的时候用来做条件判断是再简单不过的了.但对于优秀程序员来说,这却不是好代码. 不信你往下看- 1. ...

  9. 从零开始学python | 使用Python映射,过滤和缩减函数:所有您需要知道的

    摘要:在本文中,您将学习Python中的三个令人印象深刻的函数,即map(),filter和reduce(). Python提供了许多预定义的内置函数,最终用户可以通过调用它们来使用它们.这些功能不仅 ...

  10. appuploader 入门使用

    回想一下我们发布 iOS 应用,不仅步骤繁琐,非常耗时.一旦其中一步失误了,又得重新来.作为一名优秀的工程师不应该让这些重复的工作在浪费我们的人生.在软件工程里面,我们一直都推崇把重复.流程化的工作交 ...