Sysdig: rīks Linux sistēmas uzraudzībai

Ir izstrādāti dažādi rīki, lai palīdzētu mums daudz pilnīgāk pārvaldīt pārvaldītos datorus, un tas ir ļoti svarīgi, jo tas ļauj mums daudz tiešāk kontrolēt un reālā laikā uzzināt katras sistēmas patieso stāvokli.

Pārvaldot Linux vidi, mums ir praktisks un vienkāršs rīks, kas palīdz mums analizēt sistēmu, un tas ir Sysdig.

Šoreiz Solvetic analizēs, kā instalēt un lietot Sysdig Ubuntu 17.04 serverī, taču šī lietojumprogramma būs ļoti noderīga jebkuram Linux izplatītājam.

Kas ir SysdigSysdig ir atvērtā pirmkoda lietojumprogramma, kas veic sistēmas līmeņa skenēšanu, ļaujot tai fiksēt sistēmas stāvokli un darbināmas Linux instances darbību, lai vēlāk saglabātu, filtrētu un analizētu iegūtos datus.

Sysdig ir uzrakstīts Lua valodā, un tajā ir komandrindas interfeiss un jaudīga interaktīva lietotāja saskarne csysdig, kuru var palaist terminālī. Pašlaik mums ir pārvaldības utilītas, piemēram:
Strace: atklājiet sistēmas zvanus un signālus procesam.

  • Tcpdump: Tīkla satiksmes uzraudzība.
  • Netstat: Tīkla savienojuma uzraudzība.
  • Htop: Procesu uzraudzība reālā laikā.
  • Pa kreisi: Reālā laika tīkla joslas platuma uzraudzība.
  • Ls: Tas ļauj vizualizēt, kuri faili tiek atvērti ar kādu procesu.

Ar sysdig mēs būsim integrējuši visus šos rīkus un daudz ko citu, piedāvājot vienkāršu programmu un rēķinoties ar konteineru atbalstu.

Sysdig funkcijasDažas no izcilākajām Sysdig funkcijām ir šādas:

  • Tas ir ātrs, stabils un viegli lietojams ar plašu dokumentāciju.
  • Ietver vietējo atbalstu konteineru tehnoloģijām, tostarp Docker, LXC un citiem.
  • Tas ir programmējams Lua; piedāvā kaltus (vieglus Lua skriptus), lai apstrādātu notvertos sistēmas notikumus.
  • Atbalsta izvades filtrēšanu.
  • Atbalsta sistēmas un lietojumprogrammu izsekošanu.
  • To var integrēt ar Ansible, Pupe un Logstash.
  • Iespējo uzlaboto žurnālu analīzi.
  • Tam ir Linux serveru uzbrukumu analīzes (kriminālistikas) funkcijas ētiskiem hakeriem un vēl daudz vairāk.

1. Instalējiet Sysdig operētājsistēmā Linux

1. darbība
Lai instalētu Sysdig Ubuntu 17.04 serverī, mēs izpildīsim vienu no šīm komandām, kas pārbaudīs visas prasības; ja viss ir pareizi, tas lejupielādēs un instalēs pakotni no Draios APT / YUM krātuves:

 čokurošanās -s https://s3.amazonaws.com/download.draios.com/stable/install-sysdig | bash curl -s https://s3.amazonaws.com/download.draios.com/stable/install-sysdig | sudo bash

PALIELINĀT

2. solis
Kad instalēšanas process ir pabeigts, mēs redzēsim sekojošo:

PALIELINĀT

2. Izmantojot Sysdig operētājsistēmā Linux

1. darbība
Pēc tā instalēšanas jums ir jāpalaiž sysdig kā sakne, jo tai ir nepieciešama piekļuve kritiskām zonām, piemēram, / dev / sysdig * failu sistēmai, un tai būs automātiski jāielādē sysdig-zondes kodola modulis, mēs izpildīsim sekojošo:

 sudo sysdig

PALIELINĀT

2. solis
Tur mēs varam redzēt virkni mazu sarežģītu datu, ja mēs vēlamies iegūt daudz vienkāršāku skatu, mums būs jāizmanto csysdig saskarne. Mēs izpildām sekojošo:

 sudo csysdig
3. solis
Rezultāts būs šāds. Mēs varam redzēt datus daudz organizētākā veidā. Ir svarīgi precizēt, ka mērķis ir izmantot komandu sysdig, lai iegūtu instrumenta patieso potenciālu.

PALIELINĀT

3. Izprotiet Sysdig filtrus un parametrus operētājsistēmā Linux


Īsumā mēs redzējām, ka dati, ko ģenerēja sudo sysdig tie ir sarežģīti un grūti saprotami, bet paši par sevi tie ir minimāli Lua skripti, lai pārbaudītu sysdig notikumu plūsmu un tādējādi veiktu noderīgas sistēmas problēmu novēršanas darbības kopumā.

1. darbība
Izpildot šādu komandu, mēs varam redzēt pieejamos filtrus:

 sudo sysdig -cl

PALIELINĀT

2. solis
Tur mēs varam redzēt dažādās pieejamās kategorijas ar to attiecīgajām iespējām. Ja vēlaties uzzināt vairāk par konkrētu filtru, mēs izmantosim indikatoru -i:

 sudo sysdig -i topprocs_cpu

PALIELINĀT

3. solis
Sysdig filtri pievieno sīkāku informāciju izvades veidam, ko varam iegūt no notikumu straumēm, kas ļauj pielāgot izvadi. Vienkāršs un izplatīts filtrs ir pamata pārbaude "class.field = value". Lai skatītu pieejamo lauku klašu, lauku un to aprakstu sarakstu, mēs veiksim tālāk norādītās darbības.

 sudo sysdig -l

PALIELINĀT

4. Izveidojiet Linux sistēmas monitora failu

1. darbība
Lai izmestu sysdig izvadi failā vēlākai analīzei, mums jāizmanto parametrs -w un būs iespējams nolasīt izsekošanas izmetes failu ar parametru -r.

Opciju -s izmanto, lai norādītu datu baitu skaitu, kas jāuztver katram sistēmas notikumam. Šajā gadījumā mēs filtrējam notikumus mongoda procesam.

2. solis
Piemēram, mēs varam izpildīt sekojošo:

 sudo sysdig -s 10 -w trace.scap
3. solis
Jūsu analīzei mēs veiksim sekojošo:
 sudo sysdig -r trace.scap proc.name = mongod

5. Pārraugiet Linux procesus


Ja mēs vēlamies uzskaitīt visus sistēmas procesus, mēs veiksim sekojošo:
 sudo sysdig -c ps

PALIELINĀT

Mēs varam redzēt pilnīgu kopsavilkumu, norādot PID, lietotāju, atmiņas izmantošanu utt.

6. Pārraugiet procesus pēc CPU izmantošanas Linux


Izmantojot Sysdig, ir iespējams uzraudzīt procesus pēc CPU izmantošanas procentiem, tāpēc mēs izpildām sekojošo:
 sudo sysdig -c topprocs_cpu

PALIELINĀT

7. Pārraugiet tīkla savienojumus un I / O ierīces Linux

1. darbība
Izmantojot Sysdig, mēs varam uzraudzīt visus tīkla savienojumus, veicot šādas darbības:

 sudo sysdig -c netstat

PALIELINĀT

2. solis
Mēs varam redzēt visas adreses, izmantoto protokolu, statusu un PID. Šī komanda ļauj parādīt augšējos tīkla savienojumus ar noteiktu baitu skaitu:

 sudo sysdig -c topconns
3. solis
Mēs varam arī uzskaitīt galvenos procesus pēc tīkla I / OS ar šādu komandu:
 sudo sysdig -c topprocs_net

8. Pārraugiet I / O failu sistēmas Linux

1. darbība
Sistēmas procesos nolasītos un rakstītos datus būs iespējams izdot, izmantojot šādu rindu:

 sudo sysdig -c echo_fds

PALIELINĀT

2. solis
Lai uzskaitītu galvenos procesus pēc diska baitiem (lasīšana un rakstīšana), mēs izmantosim šādu rindu:

 sudo sysdig -c topprocs_file

PALIELINĀT

9. Problēmu novēršana veiktspējas problēmām operētājsistēmā Linux


Sysdig piedāvā mums iespēju uzraudzīt sistēmas zvanu kļūdas (vājās vietas), izpildot šādu komandu:
 sudo sysdig -c vājās vietas

PALIELINĀT

Piezīmelai redzētu rezultātus, mums ir jāizmanto šādi taustiņi, lai pabeigtu procesu.

Ctrl + C

10. Atklājiet lēnos tīklus Linux


Ar šādu komandu būs iespējams analizēt, kura tīkla I / O ierīce sistēmā ir lēna:
 sudo sysdig -c netlower

11. Pārraugiet HTTP vaicājumus operētājsistēmā Linux

1. darbība
Ja mums ir HTTP serveris, piemēram, Apache vai Nginx, mēs varam meklēt servera pieprasījumu žurnālā, izmantojot šādu komandu:

 sudo sysdig -c httplog
2. solis
Vai arī, ja mēs vēlamies vizualizēt vaicājumus, kurus mēs izpildīsim:
 sudo sysdig -c httptop

12. Apvalku izvietošana un lietotāju interaktivitāte Linux

1. darbība
Šī komanda ļaus mums redzēt visus pieteikšanās čaulas ID:

 sudo sysdig -c list_login_shells
2. solis
Lai redzētu lietotāju aktivitātes, mēs veiksim šādas darbības:
 sudo sysdig -c spy_users

13. Sysdig palīdzība Linux operētājsistēmā Linux


Visbeidzot, mēs varam piekļūt sysdig palīdzībai, izpildot vienu no šīm komandām:
 man sysdig man csysdig 

PALIELINĀT

Tādā veidā sysdig kļūst par funkcionālu alternatīvu, pārvaldot, uzraugot un saglabājot daudz precīzāku kontroli pār dažādiem sistēmas aspektiem.

wave wave wave wave wave