Определить программу, ответственную за периодические кратковременные сетевые подключения
(Предполагая, что GNU... )Если statне может сказать, какого это типа (каталог, (пустой )обычный файл, ссылка, сокет,... ), он говорит weird file. Я бы предположил, что файловая система коррупции и предложить fsck.
В 2014 году в GNU coreutils были добавлены дополнительные распознаваемые типы файлов. Таким образом, если ваша версия старше этой, это вполне может быть разумным файлом для каких-то особых обстоятельств, но приложение, скорее всего, сохранит свою конфигурацию в обычном файле.
Одним из возможных вариантов является использование инструмента с открытым -исходным кодом sysdig, который позволит вам отслеживать системные вызовы для каждого -процесса. С помощью sysdigвы можете отслеживать исходящие соединения.
Учитывая ваш пример, если вы хотите узнать, какой процесс подключается к удаленному серверу NTP, вы можете использовать:
$ sudo sysdig evt.type=connect and fd.sport=ntp
Это позволит отфильтровать connect()системные вызовы, которые указали стандартный порт NTP в качестве порта стороны сервера -.
Для демонстрации я запускаю обновление NTP:
$ sudo ntpdate pool.ntp.org
При этом sysdigвыдает следующий результат:
50365 18:54:32.790143415 7 ntpdate (4089388) < connect res=0 tuple=192.168.1.135:33982->173.72.22.244:123
50368 18:54:32.790144930 7 ntpdate (4089388) > connect fd=3(<4u>192.168.1.135:33982->173.72.22.244:123)
50371 18:54:32.790147190 7 ntpdate (4089388) < connect res=0 tuple=192.168.1.135:46730->204.11.201.12:123
50374 18:54:32.790148380 7 ntpdate (4089388) > connect fd=3(<4u>192.168.1.135:46730->204.11.201.12:123)
50377 18:54:32.790150548 7 ntpdate (4089388) < connect res=0 tuple=192.168.1.135:40705->129.250.35.251:123
50380 18:54:32.790151746 7 ntpdate (4089388) > connect fd=3(<4u>192.168.1.135:40705->129.250.35.251:123)
50383 18:54:32.790153641 7 ntpdate (4089388) < connect res=0 tuple=192.168.1.135:42732->104.236.116.147:123
50392 18:54:32.790161130 7 ntpdate (4089388) < connect res=0 tuple=192.168.1.135:36404->173.72.22.244:123
50398 18:54:32.790165853 7 ntpdate (4089388) < connect res=0 tuple=192.168.1.135:50312->204.11.201.12:123
50404 18:54:32.790170315 7 ntpdate (4089388) < connect res=0 tuple=192.168.1.135:37229->129.250.35.251:123
50410 18:54:32.790174565 7 ntpdate (4089388) < connect res=0 tuple=192.168.1.135:59468->104.236.116.147:123
50450 18:54:32.790255847 7 ntpdate (4089388) < connect res=0 tuple=::1:44859->:::123
50453 18:54:32.790257385 7 ntpdate (4089388) > connect fd=3(<6u>::1:44859->:::123)
50456 18:54:32.790260502 7 ntpdate (4089388) < connect res=0 tuple=127.0.0.1:41670->0.0.0.0:123
Из этого вывода я знаю, что это была программа ntpdate, которая подключалась к серверам NTP, и что идентификатор этого процесса был 4089388.
Хотя приведенный выше пример относится к NTP, sysdigпозволит вам делать аналогичные вещи для различных вариантов использования. Вы можете ознакомиться с руководством пользователя sysdig для получения дополнительной информации о различных параметрах фильтра и форматировании вывода.