Sysdig 是一个超级系统工具,比 strace、tcpdump、lsof 加起来还强大。可用来捕获系统状态信息,保存数据并进行过滤和分析。使用 Lua 开发,提供命令行接口以及强大的交互界面。
使用示例:
网络
-
查看占用网络带宽最多的进程
sysdig -c topprocs_net
-
显示主机192.168.0.1的网络传输数据
as binary:
sysdig -s2000 -X -c echo_fds fd.cip=192.168.0.1
as ASCII:
sysdig -s2000 -A -c echo_fds fd.cip=192.168.0.1 -
查看连接最多的服务器端口
in terms of established connections:
sysdig -c fdcount_by fd.sport "evt.type=accept"
in terms of total bytes:
sysdig -c fdbytes_by fd.sport -
查看客户端连接最多的ip
in terms of established connections
sysdig -c fdcount_by fd.cip "evt.type=accept"
in terms of total bytes
sysdig -c fdbytes_by fd.cip -
列出所有不是访问apache服务的访问连接
sysdig -p"%proc.name %fd.name" "evt.type=accept and proc.name!=httpd"
容器
-
查看机器上运行的容器列表及其资源使用情况
sudo csysdig -vcontainers
-
查看容器上下文的进程列表
sudo csysdig -pc
-
查看运行在wordpress1容器里CPU的使用率
sudo sysdig -pc -c topprocs_cpu container.name=wordpress1
-
查看运行在wordpress1容器里网络带宽的使用率
sudo sysdig -pc -c topprocs_net container.name=wordpress1
-
查看在wordpress1容器里使用网络带宽最多的进程
sudo sysdig -pc -c topprocs_net container.name=wordpress1
-
查看在wordpress1 容器里占用 I/O 字节最多的文件
sudo sysdig -pc -c topfiles_bytes container.name=wordpress1
-
查看在wordpress1 容器里网络连接的排名情况
sudo sysdig -pc -c topconns container.name=wordpress1
-
显示wordpress1容器里所有命令执行的情况
sudo sysdig -pc -c spy_users container.name=wordpress1
应用
-
查看机器所有的HTTP请求
sudo sysdig -s 2000 -A -c echo_fds fd.port=80 and evt.buffer contains GET
-
查看机器所有的SQL select查询
sudo sysdig -s 2000 -A -c echo_fds evt.buffer contains SELECT
-
See queries made via apache to an external MySQL server happening in real time
sysdig -s 2000 -A -c echo_fds fd.sip=192.168.30.5 and proc.name=apache2 and evt.buffer contains SELECT
硬盘 I/O
-
查看使用硬盘带宽最多的进程
sysdig -c topprocs_file
-
列出使用大量文件描述符的进程
sysdig -c fdcount_by proc.name "fd.type=file"
-
See the top files in terms of read+write bytes
sysdig -c topfiles_bytes
-
Print the top files that apache has been reading from or writing to
sysdig -c topfiles_bytes proc.name=httpd
-
Basic opensnoop: snoop file opens as they occur
sysdig -p "%12user.name %6proc.pid %12proc.name %3fd.num %fd.typechar %fd.name" evt.type=open
-
See the top directories in terms of R+W disk activity
sysdig -c fdbytes_by fd.directory "fd.type=file"
-
See the top files in terms of R+W disk activity in the /tmp directory
sysdig -c fdbytes_by fd.filename "fd.directory=/tmp/"
-
Observe the I/O activity on all the files named 'passwd'
sysdig -A -c echo_fds "fd.filename=passwd"
-
Display I/O activity by FD type
sysdig -c fdbytes_by fd.type
进程和CPU使用率
-
See the top processes in terms of CPU usage
sysdig -c topprocs_cpu
-
See the top processes for CPU 0
sysdig -c topprocs_cpu evt.cpu=0
-
Observe the standard output of a process
sysdig -s4096 -A -c stdout proc.name=cat
性能和错误
-
See the files where most time has been spent
sysdig -c topfiles_time
-
See the files where apache spent most time
sysdig -c topfiles_time proc.name=httpd
-
See the top processes in terms of I/O errors
sysdig -c topprocs_errors
-
See the top files in terms of I/O errors
sysdig -c topfiles_errors
-
See all the failed disk I/O calls
sysdig fd.type=file and evt.failed=true
-
See all the failed file opens by httpd
sysdig "proc.name=httpd and evt.type=open and evt.failed=true"
-
See the system calls where most time has been spent
sysdig -c topscalls_time
-
See the top system calls returning errors
sysdig -c topscalls "evt.failed=true"
-
snoop failed file opens as they occur
sysdig -p "%12user.name %6proc.pid %12proc.name %3fd.num %fd.typechar %fd.name" evt.type=open and evt.failed=true
-
Print the file I/O calls that have a latency greater than 1ms:
sysdig -c fileslower 1
安全
-
Show the directories that the user "root" visits
sysdig -p"%evt.arg.path" "evt.type=chdir and user.name=root"
-
Observe ssh activity
sysdig -A -c echo_fds fd.name=/dev/ptmx and proc.name=sshd
-
Show every file open that happens in /etc
sysdig evt.type=open and fd.name contains /etc
-
Show the ID of all the login shells that have launched the "tar" command
sysdig -r file.scap -c list_login_shells tar
-
Show all the commands executed by the login shell with the given ID
sysdig -r trace.scap.gz -c spy_users proc.loginshellid=5459
相关推荐
sysdig可用于捕获系统调用信息 官方文档 https://github.com/draios/sysdig/wiki
系统分析与排障工具sysdig 的rpm包,不好下载,整理了一份方便大家使用,应用环境(Centos7 x86_64版) rpm包以及依赖包dkms。版本:sysdig-0.26.7-x86_64.rpm & dkms-2.8.1-4.20200214git5ca628c.el7.noarch.rpm
Sysdig是一种通用的系统可见性工具,对容器具有本机支持: ~$ sysdig Csysdig是用于sysdig的简单,直观且可完全自定义的curses UI: ~$ csysdig sysdig会做什么,为什么要使用它? Sysdig是提供深层系统可见性的...
Inspect的用户界面旨在直观地浏览数据密集型sysdig捕获,其中包含Linux系统的精细系统,网络和应用程序活动。 Sysdig Inspect可帮助您了解趋势,关联指标并找到大海捞针。 它具有旨在支持性能和安全性调查的功能,并...
摘要:Sysdig和Calico都是与容器密切相关的开源工具,它们分别补充了现有容器技术在特定功能领域方面的不足。本文将从安装和使用两个方面分别介绍这两个工具的使用场景。伴随着容器技术的普及和落地,许多围绕在容器...
该项目包含将Sysdig本地版本部署到Kubernetes基础架构所需的工具。 使用Sysdig安装程序二进制文件进行部署 从3.5.0版开始,此存储库托管Sysdig安装程序二进制文件的发行版。 请参考以获取使用指导。 发行版 使用...
在Mac上的Docker上运行Sysdig的映像(但不仅如此,它应在Linux主机上的docker引擎上运行)#为什么? 为什么为Mac的Docker使用特定的映像? Sysdig提供了一个Docker映像以在Docker上但在Linux主机上运行sysdig / ...
Sysdig监控
Sysdig的Terraform提供商网站: : 邮件列表:要求 > 0.12.x > 1.14(构建提供程序插件)建立提供者将存储$GOPATH/src/github.com/draios/terraform-provider-sysdig到: $GOPATH/src/github....git clone git@github....
拉格纳布/工具箱 基于 Debian Jessie 的 CoreOS 工具箱容器,具有一些优点,例如 zsh 和完全成熟的 vim。... 以及用于跟踪的 strace/ltrace 和 sysdig。 还包括与 CoreOS stable 上最新版本匹配的 docker 二进制文件
使用Sysdig指标的自定义Kubernetes调度程序-简介 该存储库涵盖了创建用Go编写的自定义Kubernetes调度程序的用例。 这只是如何构建调度程序的一个示例,但是当前此调度程序中当前尚未处理某些事情: 波德标签像No...
Sysdig网络凿子 一个sysdig凿子,显示完整网络调用的长度以及写/读数据的摘要。 该脚本使用以下各列生成TSV格式的输出: datetime:日期时间戳。 ts:自Unix纪元以来的毫秒数。 毫秒:从连接到关闭的毫秒数。 ...
Roadcrew是一个简单的Go命令,用于继续运行惊人的Sysdig,并将结果上传到S3。 用法: roadcrew [options] -i <interval> -b roadcrew -h --help roadcrew --version 选项: -K <aws> AWS Key ID. -S <aws> AWS ...
CKS - Practise PSP and Audit
使用Jenkins在Kubernetes上配置CI / CD 介绍 DevOps鼓励开发人员和运营团队之间的协作,合作和沟通,以提高软件开发的速度和质量。 DevOps的关键原理之一是自动化,它可以减少人为错误,提供一致的结果甚至减轻风险...
Falco行为活动监视器的角色设置Falco的角色Ansible角色 要求和依存关系Ansible 已在以下版本上进行了测试: 2.0 2.5操作系统定位Debian / Ubuntu和Redhat / Centos。剧本范例只需将此角色包括在您的列表中即可。 ...
Sysdig安全内联扫描操作此操作将对本地构建的容器映像执行分析,并将结果发布到Sysdig Secure。 有关安全串联扫描的更多信息,请参见。输入项image-tag 必需要扫描的本地图像的标签。 示例: "sysdiglabs/dummy-vuln...
真棒 Falco相关工具,框架和文章的精选清单 ...-浏览Sysdig资源,以获取白皮书,视频,网络研讨会,案例研究等。 将安全性,合规性和监视功能嵌入到DevOps工作流程中。 社区资料库 易于部署的daemonset,
Kubernetes安全性:从图像卫生到网络策略建筑容器图像工具: 进一步阅读: 在Kubernetes中建立图像来源和安全性Docker和Kubernetes中的图像管理和可变性...用于审核和管理软件供应链的开源API 正在运行的容器工具: ...
Docker功能和Seccomp 主要测试使用项目。 稽核 用于监视容器。 Sysdig Falco是一种审核工具,与Seccomp或AppArmor这样的强制工具相对。 资源