Observación del tráfico de red con los comandos ipstat y tcpstat

Se incluyeron dos nuevos comandos para observar varios tipos de tráfico de red en un servidor en esta versión: ipstat y tcpstat.

El comando ipstat se utiliza para recopilar y registrar estadísticas sobre el tráfico IP en un servidor basado en el modo de salida y el orden de clasificación seleccionados que se especifican en la sintaxis de comando. Este comando permite observar el tráfico de red en la capa IP, agregado en el origen, el destino, el protocolo de nivel superior y la interfaz. Utilice este comando cuando desee observar la cantidad de tráfico entre un servidor y otros servidores.

El comando tcpstat se utiliza para recopilar y registrar estadísticas sobre el tráfico TCP y UDP en un servidor basado en el modo de salida y el orden de clasificación seleccionados que se especifican en la sintaxis de comando. Este comando permite observar el tráfico de red en la capa de transporte, específicamente para TCP y UDP. Además de las direcciones IP de origen y destino, puede observar los puertos TCP o UDP de origen y destino, el PID del proceso que envía o recibe tráfico y el nombre de la zona en la que se está ejecutando el proceso.

A continuación, incluimos algunas de las formas en que puede utilizar el comando tcpstat:

• Identifique el mayor origen de tráfico TCP y UDP en un servidor.

• Examine el tráfico que se está generado por un proceso concreto.

• Examine el tráfico que se generada a partir de una zona concreta.

• Determine qué proceso está enlazado a un puerto local.

Para utilizar los comandos ipstat y tcpstat, se requiere uno de los siguientes privilegios:

• Asumir el rol root.

• Tener el privilegio dtrace_kernel asignado explícitamente

• Tener asignado el perfil de derechos de la gestión de red o la observabilidad de red

Los siguientes ejemplos muestran diferentes formas en las que puede utilizar estos dos comandos para observar el tráfico de red. Para obtener más información, consulte las páginas del comando man tcpstat(1M) and ipstat(1M).

El ejemplo siguiente muestra la salida del comando ipstat cuando se ejecuta con la opción –c. Utilice la opción –c para imprimir informes nuevos después de informes anteriores, sin sobrescribir el informe anterior. El número 3 en este ejemplo especifica el intervalo para mostrar datos, que es el mismo que si el comando se ha llamado como ipstat 3.

# ipstat -c 3
SOURCE                     DEST                       PROTO    INT        BYTES
zucchini                   antares                    TCP      net0       72.0
zucchini                   antares                    SCTP     net0       64.0
antares                    zucchini                   SCTP     net0       56.0
amadeus.foo.example.com    10.6.54.255                UDP      net0       40.0
antares                    zucchini                   TCP      net0       40.0
zucchini                   antares                    UDP      net0       16.0
antares                    zucchini                   UDP      net0       16.0
Total: bytes in: 192.0  bytes out: 112.0 

En comparación, el ejemplo siguiente muestra la salida del comando tcpstat cuando se utiliza con la opción –c:

# tcpstat -c 3
ZONE         PID PROTO  SADDR             SPORT DADDR             DPORT   BYTES
global    100680 UDP    antares           62763 agamemnon          1023   76.0
global    100680 UDP    antares             775 agamemnon          1023   38.0
global    100680 UDP    antares             776 agamemnon          1023   37.0
global    100680 UDP    agamemnon          1023 antares           62763   26.0
global    104289 UDP    zucchini          48655 antares            6767   16.0
global    104289 UDP    clytemnestra      51823 antares            6767   16.0
global    104289 UDP    antares            6767 zucchini          48655   16.0
global    104289 UDP    antares            6767 clytemnestra      51823   16.0
global    100680 UDP    agamemnon          1023 antares             776   13.0
global    100680 UDP    agamemnon          1023 antares             775   13.0
global    104288 TCP    zucchini          33547 antares            6868    8.0
global    104288 TCP    clytemnestra      49601 antares            6868    8.0
global    104288 TCP    antares            6868 zucchini          33547    8.0
global    104288 TCP    antares            6868 clytemnestra      49601    8.0
Total: bytes in: 101.0  bytes out: 200.0 

Los siguientes ejemplos adicionales muestran otras formas en las que puede observar el tráfico en la red mediante los comandos ipstat y tcpstat.

Ejemplo 1-14  Observación de los cinco flujos de tráfico IP más activos con el comando ipstat

En el ejemplo siguiente se muestran los cinco flujos de tráfico IP más activos. La opción –l nlines especifica cuántas líneas de datos utilizar para la salida por informe.

# ipstat -l 5
SOURCE                     DEST                       PROTO    IFNAME     BYTES
charybdis.foo.example.com  achilles.exampl            UDP      net0        6.6K
eratosthenes.example.com   aeneas.example.c           TCP      tun0        6.1K
achilles.exampl            charybdis.foo.example.com  UDP      net0      964.0
aeneas.example.c           eratosthenes.example.com   TCP      tun0      563.0
odysseus.example.          255.255.255.255            UDP      net0       66.0
Total: bytes in: 12.6K bytes out:  2.2K

Ejemplo 1-15  Visualización de una indicación de hora mediante el comando ipstat

El siguiente ejemplo informa del tráfico IP superior con un registro de hora en formato de fecha estándar (–d d). Puede especificar que el registro de hora se imprima en segundos u hora de UNIX (–d u). El intervalo está definido en 10 segundos.

# ipstat -d d -c 10
Monday, March 26, 2012 08:34:07 PM EDT
SOURCE                     DEST                       PROTO    IFNAME     BYTES
charybdis.foo.example.com  achilles.exampl            UDP      net0       15.1K
eratosthenes.example.com   aeneas.example.c           TCP      tun0       13.9K
achilles.exampl            charybdis.foo.example.com  UDP      net0        2.4K
aeneas.example.c           eratosthenes.example.com   TCP      tun0        1.5K
odysseus.example.          255.255.255.255            UDP      net0       66.0
cassiopeia.foo.example.com aeneas.example.c           TCP      tun0       29.0
aeneas.example.c           cassiopeia.foo.example.com TCP      tun0       20.0
Total: bytes in: 29.1K bytes out:  3.8K

Ejemplo 1-16  Observación de los cinco flujos de tráfico más activos con el comando tcpstat

En el ejemplo siguiente se muestran los cinco flujos de tráfico TCP más activos para un servidor:

# tcpstat -l 5
ZONE            PID PROTO  SADDR            SPORT DADDR            DPORT   BYTES
global        28919 TCP    achilles.exampl  65398 aristotle.exampl   443   33.0
zone1          6940 TCP    ajax.example.com  6868 achilles.exampl  61318    8.0
zone1          6940 TCP    achilles.exampl  61318 ajax.example.com  6868    8.0
global         8350 TCP    ajax.example.com  6868 achilles.exampl  61318    8.0
global         8350 TCP    achilles.exampl  61318 ajax.example.com  6868    8.0
Total: bytes in: 16.0  bytes out: 49.0 

Ejemplo 1-17  Visualización de información de registro de hora con el comando tcpstat

En el ejemplo siguiente, el comando tcpstat se utiliza para mostrar información de registro de hora para el tráfico de red TCP en un servidor en formato de fecha estándar:

# tcpstat -d d -c 10
Saturday, March 31, 2012 07:48:05 AM EDT
ZONE            PID PROTO  SADDR            SPORT DADDR            DPORT   BYTES
global         2372 TCP    penelope.example 58094 polyphemus.examp    80   37.0
zone1          6940 TCP    ajax.example.com  6868 achilles.exampl  61318    8.0
zone1          6940 TCP    achilles.exampl  61318 ajax.example.com  6868    8.0
global         8350 TCP    ajax.example.com  6868 achilles.exampl  61318    8.0
global         8350 TCP    achilles.exampl  61318 ajax.example.com  6868    8.0
Total: bytes in: 16.0  bytes out: 53.0