Sysdig: Instrument pentru monitorizarea sistemului Linux

Există diverse instrumente care au fost dezvoltate pentru a ne ajuta să gestionăm computerele gestionate într-un mod mult mai complet și acest lucru este vital, deoarece ne permite să avem un control mult mai direct și să cunoaștem în timp real adevăratul statut al fiecărui sistem.

Când gestionăm mediile Linux, avem un instrument practic și simplu care ne ajută să analizăm sistemul și acesta este Sysdig.

De această dată, Solvetic va analiza modul de instalare și utilizare a Sysdig pe serverul Ubuntu 17.04, dar această aplicație va fi de mare ajutor pentru orice distribuție Linux.

Ce este SysdigSysdig este o aplicație open source, care efectuează o scanare la nivel de sistem care îi permite să capteze starea sistemului și activitatea unei instanțe Linux care rulează pentru a salva, filtra și analiza ulterior datele obținute.

Sysdig a fost scris în Lua și include o interfață de linie de comandă și o interfață de utilizator interactivă puternică, csysdig, care poate fi rulată în terminal. În prezent, avem utilități de gestionare, cum ar fi:
Strace: Descoperiți apelurile și semnalele sistemului către un proces.

• Tcpdump: Monitorizarea traficului în rețea.

• Netstat: Monitorizarea conexiunii la rețea.

• Htop: Monitorizarea proceselor în timp real.

• Lftop: Monitorizarea lățimii de bandă a rețelei în timp real.

• Lsof: Permite vizualizarea fișierelor care sunt deschise prin ce proces.

Cu sysdig vom avea integrate toate aceste instrumente și multe altele, oferind un program simplu și mizând pe suportul containerelor.

Caracteristici SysdigUnele dintre cele mai remarcabile caracteristici ale Sysdig sunt:

• Este rapid, stabil și ușor de utilizat cu o documentație extinsă.

• Include suport nativ pentru tehnologii de containere, inclusiv Docker, LXC și multe altele.

• Este programabil în Lua; oferă dalte (scripturi Lua ușoare) pentru a procesa evenimentele de sistem capturate.

• Suportă filtrarea ieșirilor.

• Suportă urmărirea sistemului și a aplicațiilor.

• Poate fi integrat cu Ansible, Pupe și Logstash.

• Permite o analiză avansată a jurnalului.

• Are funcții de analiză a atacurilor de server Linux (criminalistică) pentru hackeri etici și multe altele.

1. Instalați Sysdig pe Linux

Pasul 1
Pentru a instala Sysdig pe Ubuntu 17.04 Server, vom executa una dintre următoarele comenzi care vor verifica toate cerințele; dacă totul este corect, va descărca și instala pachetul din depozitul Draios APT / YUM:

 curl -s https://s3.amazonaws.com/download.draios.com/stable/install-sysdig | bash curl -s https://s3.amazonaws.com/download.draios.com/stable/install-sysdig | sudo bash

MARI

Pasul 2
După finalizarea procesului de instalare, vom vedea următoarele:

MARI

2. Utilizarea Sysdig pe Linux

Pasul 1
După instalare, trebuie să rulați sysdig ca root, deoarece necesită acces la zone critice precum sistemul de fișiere / dev / sysdig * și va trebui să încărcați automat modulul kernel sysdig-probe, vom executa următoarele:

 sudo sysdig

MARI

Pasul 2
Acolo putem vedea o serie de date puțin complexe, dacă dorim să obținem o vizualizare mult mai simplă va trebui să folosim interfața csysdig. Executăm următoarele:

 sudo csysdig

Pasul 3
Rezultatul va fi următorul. Putem vedea datele într-un mod mult mai organizat. Este important să se clarifice faptul că scopul este de a utiliza comanda sysdig pentru a obține adevăratul potențial al instrumentului.

MARI

3. Înțelegeți filtrele și parametrii Sysdig pe Linux

Dintr-o privire am putut vedea că datele generate de sudo sysdig sunt complexe și dificil de înțeles, dar în sine sunt scripturi Lua minime pentru examinarea fluxului de evenimente sysdig și astfel efectuarea unor acțiuni utile de depanare pentru sistem în general.

Pasul 1
Executând următoarea comandă putem vedea filtrele disponibile:

 sudo sysdig -cl

MARI

Pasul 2
Acolo putem vedea diferitele categorii disponibile cu opțiunile respective. Dacă doriți să aflați mai multe despre un anumit filtru, vom folosi indicatorul -i:

 sudo sysdig -i topprocs_cpu

MARI

Pasul 3
Filtrele Sysdig adaugă mai multe detalii la tipul de ieșire pe care îl putem obține din fluxurile de evenimente, care ne permit să personalizăm ieșirea. Un filtru simplu și comun este o verificare de bază „class.field = value”. Pentru a vedea o listă de clase de câmpuri disponibile, câmpuri și descrierile acestora, vom rula următoarele:

 sudo sysdig -l

MARI

4. Creați fișierul de monitorizare a sistemului Linux

Pasul 1
Pentru a arunca ieșirea sysdig într-un fișier pentru o analiză ulterioară, trebuie să folosim parametrul -w și va fi posibil să citiți fișierul de dump de urmărire cu parametrul -r.

Opțiunea -s este utilizată pentru a specifica numărul de octeți de date care trebuie capturate pentru fiecare eveniment de sistem. În acest caz, filtrăm evenimentele pentru procesul mongod.

Pasul 2
De exemplu, putem executa următoarele:

 sudo sysdig -s 10 -w trace.scap

Pasul 3
Pentru analiza dvs. vom executa următoarele:

 sudo sysdig -r trace.scap proc.name = mongod

5. Monitorizați procesele Linux

Dacă dorim să listăm toate procesele sistemului vom executa următoarele:

 sudo sysdig -c ps

MARI

Putem vedea un rezumat complet care indică PID, utilizatorul, utilizarea memoriei etc.

6. Monitorizați procesele prin utilizarea procesorului în Linux

Cu Sysdig este posibilă monitorizarea proceselor în procente din utilizarea procesorului, pentru aceasta executăm următoarele:

 sudo sysdig -c topprocs_cpu

MARI

7. Monitorizați conexiunile de rețea și dispozitivele I / O în Linux

Pasul 1
Cu Sysdig putem monitoriza toate conexiunile de rețea executând următoarele:

 sudo sysdig -c netstat

MARI

Pasul 2
Putem vedea toate adresele, protocolul utilizat, starea și PID. Următoarea comandă ne permite să afișăm conexiunile de rețea de top cu un număr definit de octeți:

 sudo sysdig -c topconns

Pasul 3
De asemenea, putem lista principalele procese după I / OS de rețea cu următoarea comandă:

 sudo sysdig -c topprocs_net

8. Monitorizați sistemele de fișiere I / O pe Linux

Pasul 1
Va fi posibil să emiteți datele citite și scrise de procesele din sistem folosind următoarea linie:

 sudo sysdig -c echo_fds

MARI

Pasul 2
Pentru a lista principalele procese pe octeți de disc (citire și scriere), vom folosi următoarea linie:

 sudo sysdig -c topprocs_file

MARI

9. Depanarea problemelor de performanță pe Linux

Sysdig ne oferă o oportunitate de a monitoriza erorile de apel de sistem (blocaje) cu executarea următoarei comenzi:

 sudo sysdig -c blocaje

MARI

Notăpentru a vedea rezultatele trebuie să folosim următoarele taste pentru a termina procesul.

Ctrl + C

10. Descoperiți rețele lente în Linux

Cu următoarea comandă va fi posibil să se analizeze ce dispozitiv de rețea I / O este lent în sistem:

 sudo sysdig -c netlower

11. Monitorizați interogările HTTP pe Linux

Pasul 1
Dacă avem un server HTTP precum Apache sau Nginx în sistem, putem căuta în jurnalul de cereri al serverului folosind următoarea comandă:

 sudo sysdig -c httplog

Pasul 2
Sau dacă dorim să vizualizăm interogările, le vom executa:

 sudo sysdig -c httptop

12. Implementarea shell-urilor și interactivitatea utilizatorului în Linux

Pasul 1
Următoarea comandă ne va permite să vedem toate ID-urile shell-ului de conectare:

 sudo sysdig -c list_login_shells

Pasul 2
Pentru a vedea activitatea utilizatorilor vom executa următoarele:

 sudo sysdig -c spy_users

13. Ajutor Sysdig pe Linux pe Linux

În cele din urmă, putem accesa ajutorul sysdig executând una dintre următoarele comenzi:

 man sysdig man csysdig 

MARI

În acest fel, sysdig devine o alternativă funcțională atunci când vine vorba de gestionarea, monitorizarea și păstrarea unui control mult mai precis asupra diferitelor aspecte ale sistemului.