Você pode capturar o tráfego com o tcpdump, armazená-lo e depois analisá-lo.
tcpdump -s 0 -i eth0 port 3306 -w capture.pcap
E pode ser uma boa ideia proibir o tráfego do MySQL e deixar passar apenas os clientes autorizados.
Portanto, temos um grande número de scripts sendo executados em nosso servidor que periodicamente abrem as conexões do mysql e geralmente somos bons em fechar as conexões assim que elas são usadas.
Ultimamente temos visto picos massivos de conexões (mais de 8000) que causam falhas em nosso servidor. A interrupção dura apenas alguns segundos, mas coloca um monte de funções dependentes em desordem e, embora gerenciável, é obviamente indesejável.
Meu palpite é em algum lugar em que um script está sendo executado, o que faz com que as conexões sejam abertas em algum tipo de loop, possivelmente um cron.
O problema é que não consigo encontrar um padrão de quando isso está acontecendo e não consigo capturar as portas que as conexões estão consumindo, pois o servidor falha em milissegundos depois que as conexões começam a se abrir.
O que eu estou procurando é alguma estratégia ou abordagem que eu possa usar para identificar de onde essas conexões vêm de repente.
Você pode capturar o tráfego com o tcpdump, armazená-lo e depois analisá-lo.
tcpdump -s 0 -i eth0 port 3306 -w capture.pcap
E pode ser uma boa ideia proibir o tráfego do MySQL e deixar passar apenas os clientes autorizados.