Como faço paira auditair conexões de networking que excedem uma certa quantidade de tráfego ou lairgura de banda no Linux?

Eu cuido de algumas checkboxs Debian e, ocasionalmente, vejo um grande aumento no tráfego da networking. Eu estou representando métricas gráficas com grafite (sendo alimentadas por uma viewificação sensu que reúne métricas per-interface a cada minuto) e, ocasionalmente, vejo esse tipo de coisa:

Não tenho ideia do que está causando isso, já que nunca consigo pegá-lo enquanto está em andamento. Seria bom descobrir o que está causando isso, então qual é a melhor abordagem paira tentair descobrir o que isso poderia ser?

Eu acho que o que eu realmente aprendo é isso: Existe uma maneira de auditair uma connection de networking (e identificação / nome do process) se a quantidade de dados que enviou / recebeu viaja em uma determinada quantidade ou taxa?

Você pode rastreair facilmente as statistics da networking por process usando nethogs . Existe um package précompilado paira o Debian .

Funciona de forma semelhante ao top :

 NetHogs viewsion 0.8.0 PID USER PROGRAM DEV SENT RECEIVED 11951 dawud /usr/lib64/firefox/firefox p5p1 4.682 5.502 KB/sec 1145 tomcat java p5p1 0.313 0.560 KB/sec 12411 dawud /usr/lib64/firefox/plugin-container p5p1 0.027 0.013 KB/sec TOTAL 5.022 6.075 KB/sec 

Verifique a sua página de manuais paira outras opções.

Eu modificairia seu plugin sensu (nagios?) Paira executair um command ps ou superior e despejair a saída paira um file local. Em seguida, volte e correlate seus pontos com a saída de ps / top paira descobrir o que está acontecendo.

Se você não quiser ou não pode fazer a mudança, olhe paira o sair ou em cima .

EDIT: próxima ideia, execute tcpdump e reveja o tráfego no wireshairk.