Gostaria de rastrear processos que tentam se conectar a uma determinada porta (no host remoto).
Então, descobri que auditd é muito poderoso para esse tipo de tarefa. O seguinte comando instrui auditd para registrar cada syscall de conexão:
auditctl -a always,exit -F arch=b64 -S connect
auditctl -a always,exit -F arch=b32 -S connect
O log é então armazenado em /var/log/audit/ . Mas o conteúdo é bastante complexo. Há ausearch que pode ser usado para filtrar o log, mas talvez alguém já saiba como resolver isso.
P.S Não quero usar o netstat porque quero ver até mesmo as conexões com falhas, etc.
Obrigado antecipadamente
Tags networking gnu linux tcp auditd