Aus dem Alltag eines Sysadmin: Pktstat

Heute schiebe ich die für Admins nicht gerade exotische Aufgabe, den Netzverkehr auf einem Interface menschenlesbar aufzudröseln, ins Licht dieser Kolumne. Grund: Auf der Suche nach einem Kompromiss zwischen dem einsilbigen Iptraf und dem geschwätzigen Wireshark bin ich auf Pktstat gestoßen. Das Tool gehört zum Umfang der meisten Distributionen, der Quellcode ist unter [1] erhältlich. Um die aktuellen Verbindungen auf der Schnittstelle zu sehen, tippe ich bloß:

pktstat -i eth0

In einer Ansicht, die entfernt an »top« erinnert, stellt Pktstat die Netzwerkaktivität nach Klassen sortiert (ICMP, TCP, UDP und so weiter) untereinander dar. Wem die Namensauflösung zu lange dauert, der schaltet sie mit dem Parameter »-n« einfach ab. Bei Protokollen wie HTTP, FTP und X11 gibt Pktstat weitere Informationen über die übertragenen Daten aus, bei HTTP etwa den Pfad und die Requestmethode, also »GET« oder »POST« .

Abbildung 1 zeigt den Download des ISO-Image der kommenden Ubuntu-LTS-Version 12.04. Dabei fällt auf, dass Pktstat nicht die vollständigen Namen der Quell- und der Zielmaschine anzeigt, sondern nur den Teil bis zum ersten Punkt – der Übersichtlichkeit wegen. Will ich partout den ganzen Namen sehen, lege ich Pktstat den Parameter »-F« ins Gepäck.

Abbildung 1: Das Downloaden eines ISO-Image entgeht Pktstat natürlich nicht. Die Namen von Quell- und Zielhost verkürzt das Tool hier bewusst.

Die Übersicht geht aber spätestens flöten, wenn es auf der Netzwerkschnittstelle hektisch zugeht. Um Schritt zu halten, bediene ich mich zweier Schräubchen. Zum einen löscht Pktstat Verbindungen, für die keine Daten mehr fließen, erst nach 10 Sekunden aus der Übersicht. Diesen Wert verringere ich mit dem Parameter »-k« (Keeptime), etwa auf 1 Sekunde.

Außerdem aktualisiert Pktstat seine Übersicht nur alle 5 Sekunden. Mit »-w 1« mache ich ihm Beine, die Ansicht erneuert sich nun sekündlich. Für den Parameter »-w« gibt es noch eine weitere Verwendung: Pktstat bietet einen so genannten Single-Shot-Modus, zum Beispiel per:

pktstat -i eth0 -1 -w 10

Durch »-1« initiiere ich den Single-Shot-Modus. Pktstat läuft nun ohne Bildschirmausgabe, bis die mit »-w 10« festgelegten Sekunden abgelaufen sind. Danach beendet es sich und hinterlässt als Erbschaft eine übersichtliche Liste der erkannten Verbindungen.

Neu sortiert

Das Tool bietet noch einige Parameter, um die Ausgabe zu beeinflussen, am häufigsten benötige ich »-l« (last seen). Damit sortiert Pkstat seine Übersicht danach, welche Verbindungen zuletzt aktiv waren. Je länger eine Kommunikation idle ist, umso weiter rutscht sie in der Liste nach unten. Mit »-t« (top mode) arbeiten sich jene Datenströme nach oben, die am emsigsten Daten durchs Interface schaufeln. Die meisten Kommandozeilenparameter funktionieren auch interaktiv bei laufendem Pktstat; durch Drücken der Taste [L] aktiviere ich so den erwähnten Last-seen-Modus.

Wer eine Weile damit arbeitet, wird mir sicherlich beipflichten, dass Admins sich mit Pktstat unkompliziert über die Netzwerk-Verkehrslage informieren können. Klassische Frage: Welcher Prozess schnorchelt hier gerade die ganze verfügbare Bandbreite ab? Für eine detektivische Stau-Ursachenforschung brauche ich aber nach wie vor Wireshark.

Der Autor

Charly Kühnast administriert Unix-Systeme im Rechenzentrum Niederrhein in Kamp-Lintfort. Zu seinen Aufgaben gehören die Sicherheit und Verfügbarkeit der Firewalls und der DMZ. Im heißen Teil seiner Freizeit frönt er dem Kochen, im feuchten Teil der Süßwasseraquaristik und im östlichen lernt er Japanisch.