Linux Sunucularda Ağ Trafiği Analizi

Bir sunucu veya cihaz ağa katıldığı andan itibaren, en önemli konulardan biri ağ trafiği olur. Sunucuya, bilgisayara veya cihaza hangi IP üzerinden ne kadar trafik geldiği, anlık olarak ne kadar trafiği olduğu gibi ölçümler ciddi önem arz eder.

SNMP destekleyen tüm cihazlarda, dışarıdan harici bir yazılımla (Cacti, Observium, PRTG gibi) trafiği okuyabiliyoruz. Peki, direkt olarak bir Linux sunucu sahibiysek, bu işlemleri sunucu üzerinden nasıl yapabiliriz?

Linux sunucularda ağ trafiğini anlık olarak izlemek veya analiz etmek için birçok araç bulunuyor. Bunlardan birkaçını aşağıda inceleyeceğiz.

Iftop

Özellikle canlı bağlantı bazlı trafikleri izlemek için en sık kullanılan araçlardan biridir.

Iftop kurulumu

Iftop genellikle tüm Linux dağıtımlarının varsayılan depolarında bulunur. Aşağıdaki komutlarla kurulumu gerçekleştirebilirsiniz.

Debian / Ubuntu

sudo apt update
sudo apt install iftop

RHEL 8/9, Rocky, AlmaLinux

sudo dnf install epel-release
sudo dnf install iftop

CentOS 7

sudo yum install epel-release
sudo yum install iftop

Fedora

sudo dnf install iftop

FreeBSD

sudo pkg install iftop

Iftop kullanımı

Kurulum tamamlandıktan sonra terminale iftop yazmanız aracın çalışması için yeterlidir. Eğer Linux cihazınızda birden fazla ağ arayüzü (interface) tanımlıysa, araç herhangi bir parametre belirtilmediği sürece varsayılan ağ kartının tüm trafiğini izlemeye başlayacaktır.

Ekranda ilk satır sunucunuzu (rdns olarak), ikinci satır ise sunucuya gelen trafiği gösterir. Devamında ise gelen ve giden trafiğin boyutları yer alır. Bu ekranda “n” tuşuna basarsanız, rdns yerine doğrudan IP adresleri gösterilecektir.

Iftop parametreleri

Belirli bir interface üzerinden çalıştırmak için;

iftop -i eth0 (cihazınız üzerindeki interface ismi)

Rdns (hostname) kapatmak için;

iftop -n

Belirli bir subnet’i filtelemek için;

iftop -F 192.168.0.0/24

Belirli bir ip adresini filtrelemek için;

iftop -f "host 192.168.1.10"

Sunucuda en fazla trafik yapan ip adresini bulmak için;

iftop -n -P -i eth0 (interface ismi)

Sunucuya gelen belirli portu izlemek için;

iftop -f "tcp port 8080"
iftop -f "udp port 123"

iptraf-ng

iptraf-ng, iftop aracına benzer bir mantıkla çalışır ancak daha detaylı analizler sunar ve sonuçları ncurses arayüzü üzerinden görüntüler.

iptraf-ng kurulumu

Debian / Ubuntu

sudo apt update
sudo apt install iptraf-ng

RHEL 8/9, Rocky, AlmaLinux, Centos 7

sudo dnf install epel-release
sudo dnf install iptraf-ng

Freebsd

pkg install iptraf-ng

iptraf-ng kullanımı

Kurulum tamamlandıktan sonra komut satırına iptraf-ng yazdığınızda, sizi bir ncurses arayüzü karşılayacaktır.

IP traffic monitor bölümüne girdiğinizde, tüm arayüzler üzerinden geçen IP adreslerini görebilirsiniz. General interface statistics kısmında ise tüm arayüzler üzerindeki genel trafik aktivitesi sergilenir.

Sunucuda yerel ağ (lo loopback) dışında tek bir arayüz olduğu için sadece ens160 gözükmektedir. Ayrıca sunucuda IPv6 trafiği aktif olduğu için bu trafiğe ait veriler de ekranda yer almaktadır.

Belirli bir interface’in trafiği görüntülemek için;

iptraf-ng -d ens160

Configure kısmında birçok özellik, herhangi bir parametreye gerek duymadan yapılandırılabilir. Bu bölümden arayüz renklerini değiştirebilir, ekstra portlar ekleyebilir veya mevcut portları listeden çıkartabilirsiniz.

Nload

Nload, Linux sunucularda, gelen ve giden trafiğini grafiksel olarak gösteren bir araçtır.

Nload Kurulumu

Debian / Ubuntu

sudo apt update
sudo apt install nload

RHEL 8 / 9, Rocky Linux, AlmaLinux, Centos 8

sudo dnf install epel-release
sudo dnf install nload

Fedora

sudo dnf install nload

FreeBSD

sudo pkg install nload

Nload kullanımı

Komut satırında (CLI) nload yazdığınızda, varsayılan ağ arayüzü üzerindeki trafiği grafiksel olarak anlık bir biçimde görüntülemeye başlayabilirsiniz.

Nload parametleri

Birden fazla interface varsa, belirli bir interface’i izlemek isterseniz;

nload ens160

Hesaplama süresini değiştirmek için;

nload -t 500 ens160

Not : Varsayılan hesaplama süresi 300 saniye şeklindedir.

Bmon

Açılımı Bandwidth Monitor olan Bmon, Linux sistemlerde ağ arayüzlerinin bant genişliği kullanımını gerçek zamanlı izlemek için kullanılan konsol tabanlı bir araçtır.

Bmon Kurulumu

Debian / Ubuntu

sudo apt update
sudo apt install bmon

RHEL 8 / 9, Rocky Linux, AlmaLinux, CentOS 7

sudo dnf install epel-release
sudo dnf install bmon

Fedora

sudo dnf install bmon

FreeBSD

sudo pkg install bmon

Bmon Kullanımı

Bmon yazdığınızda, sunucu üzerindeki tüm interface’leri ncurses ekranında getirecektir.

Ekranda “i” harfine basarsanız arayüz bilgilerini (MTU değeri, çalışma modu vb.), “d” harfine basarsanız ise daha detaylı trafik istatistiklerini görüntüleyebilirsiniz.

Bmon parametleri

Belirli bir interface izlemek için;

bmon -p ens160

Yenileme aralığını değiştirmek için;

bmon -r 10

*Not : Varsayılan yenileme aralığı 1 saniyedir.

.csv formatında çıktı üretmek için;

bmon -O format=csv

VnStat

vnStat, *nix sistemlerde ağ trafiğini anlık izlemek yerine saatlik, günlük veya haftalık gibi belirli periyotlarla takip etmek için kullanılır.

Vnstat kurulumu

Debian / Ubuntu

sudo apt update
sudo apt install vnstat

RHEL 8 / 9, Rocky Linux, AlmaLinux, CentOS 7

sudo dnf install epel-release
sudo dnf install vnstat

Fedora

sudo dnf install vnstat

FreeBSD

sudo pkg install vnstat

VnStat kullanımı

vnStat’ın veri oluşturması için belirli bir süre geçmesi gerekmektedir. Aksi halde tarafınıza “ens160: No data. Timestamp of last update is same 2026-02-19 08:10:38 as of database creation” hatası verecektir.

Araç kurulumdan yaklaşık 300 saniye sonra verileri toplamaya ve istatistikleri oluşturmaya başlayacaktır.

Vnstat parametleri

Belirli bir interface’e ait istatistik almak isterseniz;

vnstat -i ens160

Gerçek zamanlı trafik izlemek için;

vnstat -l -i ens160

Saatlik istatistik için;

vnstat -h -i ens160

Günlük istatistik için;

vnstat -d -i ens160

Aylık istatistik için;

vnstat -m -i ens160

Yıllık istatistik için;

vnstat -y -i ens160

Json formatında çıktı almak için;

vnstat --json -i ens160

Darkstat

Darkstat, diğer araçlardan farklı olarak kendi içerisinde bir web sunucusu barındıran bir ağ izleme aracıdır. Yine diğerlerinden farklı olarak sistemde bir servis (daemon) olarak kurulup çalışmaktadır.

Darkstat kurulumu

Debian / Ubuntu

sudo apt update
sudo apt install darkstat

RHEL 8 / 9, Rocky Linux, AlmaLinux, CentOS 7

sudo dnf install epel-release
sudo dnf install darkstat

Fedora

sudo dnf install darkstat

FreeBSD

sudo pkg install darkstat

Darkstat kullanımı

Darkstat kullanımı için aşağıdaki parametreyi yazıyoruz;

darkstat -i ens160 -p 9090

Tarayıcınıza http://IP:9090 yazdığınızda, ens160 arayüzünün istatistikleri HTML formatında karşınıza çıkacaktır.

Servis arka planda sürekli çalışmaya devam eder. Eğer kapatmak isterseniz, processi sonlandırmanız gerekmektedir.

pkill darkstat

Kapattığınız takdirde ölçüm yapmayı bırakacaktır.

Sık Sorulan Sorular

Linux sunucumda hangi ağ izleme aracını seçmeliyim?

Eğer anlık olarak hangi IP adresinin hattı tükettiğini görmek istiyorsanız iftop görsel bir grafik üzerinden genel trafiği izlemek isterseniz nload, geçmişe dönük günlük veya aylık raporlar almak isterseniz vnStat tercih edebilirsiniz.

“No data” veya “Permission denied” hataları alıyorum, ne yapmalıyım?

Komutları sudo öneki ile çalıştırmayı deneyin. vnstat gibi araçlarda veritabanının oluşması için kurulumdan sonra beklemeniz veya trafiğin oluşmasını sağlamanız gerekebilir.

Sunucu trafiğini terminale girmeden web üzerinden takip edebilir miyim?

Darkstat ile sunucu trafiğini web üzerinden takip edebilirsiniz. Kurulduktan sonra kendi web servisini çalıştırır ve belirlediğiniz port üzerinden tarayıcıdan erişim sağlar. Böylece gelen ve giden trafiği grafiksel olarak görüntüleyebilirsiniz.