Forum Linux.debian/ubuntu [Résolu] Trouver et éteindre un service qui utilise le réseau

Posté par monito le 06 août 2015 à 16:42. Licence CC By‑SA.

Étiquettes :

août

2015

Bonjour,

J'ai vu que ma debian wheezy utilisait en permanence le réseau à 300ko/s environ.
Iftop me donne ça :

192.168.1.40:514                  => 192.168.1.250           0B      0B      0B
                                  <=                        301kB   324kB   337kB

Donc ça signifie que le bruit réseau se situe entre le port 514 et la passerelle.

J'ai essayé de trouver le service qui utilise le port 514 avec netstat mais je trouve pas …
Sur internet ils disent que c'est rsyslog mais si j’éteins le daemon ca change rien au flux réseau

Pouvez vous m'éclairer s'il-vous plait ? Que dois-je éteindre ?

Merci d'avance :)

# il va falloir creuser

Posté par fearan le 06 août 2015 à 16:45. Évalué à 3.

que dit

$>netstat -taupe

Il ne faut pas décorner les boeufs avant d'avoir semé le vent
- [^] # Re: il va falloir creuser
  
  Posté par monito le 06 août 2015 à 17:03. Évalué à 0. Dernière modification le 06 août 2015 à 18:17.
  Merci pour la réponse.
  
  ca donne pas grand chose … :
```
root@srvmo2:/var/log# netstat -taupe  |grep 514
tcp        0      0 localhost:33535         localhost:51497         ESTABLISHED shinken    5534976     12666/python2.7 
tcp        0      0 localhost:51497         localhost:33535         ESTABLISHED shinken    5738813     12844/python2.7
```
  - [^] # Re: il va falloir creuser
    
    Posté par fearan le 06 août 2015 à 17:12. Évalué à 5.
    
    attention avec le grep 514, si ton service existe dans /etc/services, tu auras à la place du n° de port le nom du service, ce qui est, après zieutage du /etc/services shell (pour du tcp) ou syslog pour du udp.
    
    Il ne faut pas décorner les boeufs avant d'avoir semé le vent
    - [^] # Re: il va falloir creuser
      
      Posté par Sacha Trémoureux (site web personnel) le 06 août 2015 à 17:31. Évalué à 2.
      
      Si tu veux grep sur le port en numéraire, il faut ajouter l'option -n qui justement ne va pas lire dans /etc/services.
      
      netstat -latupn | grep 514 va être un peu plus verbeux et obtenir le pid du processus correspondant.
      
      Enfin vu que y'a du shinken, il suffit que le serveur fasse de la centralisation de logs et oui la connexion va un peu carburer selon l'architecture…
# lsof

Posté par olaf le 06 août 2015 à 19:48. Évalué à 4.

Pour info, lsof sait aussi faire :
# lsof -i:514
# 0B

Posté par chimrod (site web personnel) le 06 août 2015 à 21:42. Évalué à 2.

Je suppose que ta sortie est donnée par iftop.

Si c'est le cas, ton serveur ne répond rien aux requêtes entrantes… (0B en sortie) J'interprète plutôt ça comme un tentative externe d'envoyer des données sur le port 514, que ton pc ignore silencieusement…
- [^] # Re: 0B
  
  Posté par NeoX le 07 août 2015 à 09:28. Évalué à 5.
  
  514 c'est le port syslog en UDP, il n'y pas de trame de retour
  
  donc dans son cas c'est la machine 250 qui envoie son syslog sur la machine 40
# On avance ?

Posté par monito le 07 août 2015 à 09:38. Évalué à 5. Dernière modification le 07 août 2015 à 09:40.
Déjà merci à tous pour vos réponses.
- @Sacha Trémoureux :
"netstat -latupn | grep 514" ne donne pas d'information supplémentaire :(

Mon shinken a été démasqué, bien vu ;) Quand je l’éteins ça change rien donc j'imagine que ce n'est pas la source du problème.
- @olaf :
"lsof -i:514" ne renvoie pas de résultat
- @chimrod & NeoX :
Oui la sortie du post initial est donné par iftop.
J'ai creusé le fait de subir le flux réseau sans rien demander et c'était bien ca !
En fait ma machine a pris l'ancienne IP du serveur Syslog, et la passerelle était programmée pour lui envoyer les logs! En désactivant cette fonctionnalité plus de soucis :)

Merci encore, problème résolu !

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.