golang监控网络流量核心是采集→解析→统计→可视化/告警四环节:通过读取/proc/net/文件实现无权限汇总监控,用gopacket抓包做协议级分析,结合/proc/PID/net/关联进程流量,并用prometheus导出指标供grafana展示。
用 golang 监控网络流量,核心在于“采集 → 解析 → 统计 → 可视化/告警”四个环节。不依赖外部代理或系统级工具(如 ifconfig、nethogs),Golang 可通过系统接口 + 抓包库实现细粒度、进程级甚至协议级的流量观测。
直接读取系统网络统计文件
linux 系统在 /proc/net/ 下暴露了丰富的实时网络状态,无需 root 权限即可读取:
- /proc/net/dev:汇总各网卡收发字节数、包数、错误数等,适合做整体带宽趋势监控
- /proc/net/snmp:TCP/udp 协议栈统计(如连接建立次数、重传数、丢包率)
- /proc/net/netstat:更详细的 TCP 状态分布(如 TIME_WaiT 数量)
示例:每秒读取 eth0 的接收/发送字节数,计算瞬时速率:
func readNetDev() (rx, tx uint64, err Error) {
data, _ := os.ReadFile(“/proc/net/dev”)
// 解析第2行起,跳过 header,匹配 “eth0:” 行
// 第2列 = rx_bytes,第10列 = tx_bytes
return rx, tx, nil
}
立即学习“go语言免费学习笔记(深入)”;
使用 gopacket 抓包分析真实流量
当需要按 IP、端口、协议(http/dns/TCP)甚至 payload 关键字做分类统计时,gopacket 是最常用方案:
- 用
pcap.OpenLive("eth0", 1600, false, 30*time.Second)打开网卡 - 用
gopacket.NewPacketSource(handle, handle.LinkType())构建数据包流 - 循环解析每个包:
ipLayer := packet.Layer(layers.LayerTypeIPv4)、tcpLayer := packet.Layer(layers.LayerTypeTCP) - 统计目标:源IP、目的端口、包长、是否为 SYN/FIN、HTTP 方法等
注意:抓包需 root 权限,生产环境建议限制抓包长度(如 SnapLen=128)、过滤 BPF 表达式(如 "tcp port 80 or port 443")以降低开销。
结合 /proc/PID/net/ 实现进程级流量归属
单纯抓包无法知道哪个进程发的包。Golang 可通过以下方式关联进程与连接:
- 遍历 /proc/[pid]/fd/ 中的 socket 文件,用
readlink获取 inode 号 - 解析 /proc/net/tcp 和 /proc/net/udp,提取每个连接的 inode 字段
- 将 inode 与进程 fd 匹配,从而把流量归属到具体 PID 和可执行名
可封装成定时扫描任务,每 5 秒更新一次各进程的实时上行/下行速率,适合做轻量级 nettop 类工具。
导出指标供 Prometheus 监控
把流量数据变成可观测指标,推荐用 prometheus/client_golang 暴露:
- 定义 Gauge 指标:
net_bytes_total{direction="rx",Interface="eth0"}、net_process_bytes{pid="1234",comm="nginx"} - 在 HTTP handler 中调用
metricsvec.WithLabelValues(...).Set(value) - 注册
http.Handle("/metrics", promhttp.Handler())
Prometheus 抓取后,就能在 Grafana 中画出带进程标签的流量热力图、TOP N 流量进程排行等。
基本上就这些。不需要复杂框架,几段 Go 代码就能搭出从网卡到进程的全链路流量监控能力。