Соединения журнала с программой
Вы можете регистрировать новые соединения с помощью iptables таким образом
iptables -I INPUT -m state --state NEW -j LOG --log-level 1 --log-prefix "New Connection "
Это добавит подобное сообщение для нового соединения ssh
6 октября 10:58:23 ядро centos: Новое соединение IN = eth0 OUT = MAC = 00: 0c: 29: 5b: a5: ea: 00: 0c: 29: 2d: 94: a0: 08: 00 SRC = 192.168.1.72 DST = 192.168.254.187 LEN = 52 TOS = 0x00 PREC = 0x00 TTL = 126 ID = 15498 DF PROTO = TCP SPT = 59221 DPT = 22 WINDOW = 8192 RES = 0x00 SYN URGP = 0
или что-то подобное для нового http-соединения
6 октября 11:03:56 ядро centos : Новое соединение IN = eth0 OUT = MAC = 00: 0c: 29: 5b: a5: ea: 00: 0c: 29: d2: 2c: 38: 08: 00 SRC = 192.168.254.188 DST = 192.168.254.187 LEN = 60 TOS = 0x10 PREC = 0x00 TTL = 64 ID = 10345 DF PROTO = TCP SPT = 52488 DPT = 80 WINDOW = 14600 RES = 0x00 SYN URGP = 0
и так далее для каждого нового подключения к вашей системе. Будет вестись там, где ваш системный журнал настроен для отправки сообщений kern.warning.
вы можете использовать auditd и в конце дня вычислять некоторую статистику на основе этих логов. Или вы также можете перейти к решению snmp, но, вероятно, вы написали свой собственный mib