Sysdig ist ein plattformübergreifendes Open-Source-Systemüberwachungs- und Fehlerbehebungstool. Es ist sowohl für erfahrene Systemadministratoren als auch für diejenigen nützlich, die einen ersten Eindruck von der Linux-Befehlszeile bekommen. Es kann uns eine Menge Einblicke in das geben, was während des normalen Betriebs tatsächlich auf unseren Servern, Containern oder Desktops passiert.
Sysdig wird mit einer Befehlszeilenschnittstelle geliefert, hat aber auch eine Web-Benutzeroberfläche für diejenigen, die eher zur GUI neigen.
Sysdig sammelt Systemdaten und lässt den Benutzer diese Daten auf vielfältige Weise filtern und überwachen. Sie können den Datenverkehr zu/von einem Container oder einer VM erfassen, Filter verwenden, damit das System nur relevante Ereignisse anzeigt, z. B. „wenn Prozess X Port Y überwacht“, und Sie können Ereignisse zu grafischen Darstellungen langfristiger Trends zusammenfassen .
Die größte Stärke von Sysdig ist die Tiefe der Einsicht. Sysdig kann Ihnen mitteilen, wo all Ihre Festplattenlesevorgänge stattfinden, wie viele Pakete jeder Container sendet/empfängt oder ob einer Ihrer Webserver ausgefallen ist. Es geht sogar noch einen Schritt weiter und sichert diese Informationen mit relevanten Binärdaten (falls aufgezeichnet).
Die meiste Zeit als Systemadministratoren verbringen wir damit, Probleme zu beheben, die schwer zu reproduzieren oder zu identifizieren sind. Der Grund, warum diese Probleme so schwer zu debuggen sind, ist, dass nicht genügend Informationen vorhanden sind, um fortzufahren.
Sysdig kann uns genügend Informationen liefern, um diese Probleme zu lösen. Sobald wir diese Informationen haben, wird unsere Fehlerbehebung so viel einfacher - es fühlt sich oft an, als hätte man eine Supermacht.
Sysdig funktioniert auf den meisten großen Distributionen, einschließlich CentOS, Ubuntu, Debian, Fedora Core, Arch Linux, Gentoo und sogar OSX. Die Installation ist einfach genug; es erfordert kein Kompilieren des Quellcodes (yay!), und es gibt sogar eine offizielle GitHub-Seite mit Installationsanweisungen für jede Distribution, die Sysdig offiziell unterstützt.
Für diesen Artikel werden wir Sysdig auf einem Debian 11-Server installieren. Der Prozess ist einfach genug und erfordert nicht viel fundiertes Wissen über Linux, um loszulegen.
Voraussetzungen
Um sysdig zu installieren, brauchen wir:
- Eine ssh-Verbindung zu unserem Remote-Server.
- Root- oder Sudo-Zugriff.
Aktualisieren des Systems
Es ist eine gute Idee, das System zu aktualisieren, bevor wir fortfahren. Wir können dies tun, indem wir Folgendes ausführen:
sudo apt-get update && sudo apt-get upgrade -y
Führen Sie nach Abschluss der Aktualisierungen die folgenden Befehle aus, um die erforderlichen Abhängigkeiten zu installieren. libc6 ist die C-Standardbibliothek, die von Sysdig verwendet wird, um den größten Teil seiner Schwerarbeit zu erledigen. curl ist ein Tool, das Dateien über das HTTP- oder HTTPS-Protokoll abruft, und wir werden es verwenden, um sysdig herunterzuladen. libcurl3 ist eine Abhängigkeit für curl.
sudo apt install libc6 libcurl3 gnupg -y
sudo apt install software-properties-common curl -y
Installieren von Syndig auf Debian 11
Nachdem das System aktualisiert wurde, laden wir Sysdig herunter und installieren es. Führen Sie den folgenden Befehl aus, um sysdig herunterzuladen und zu installieren.
sudo curl -s https://s3.amazonaws.com/download.draios.com/stable/install-sysdig | sudo bash
Abhängig von den Spezifikationen Ihres Servers kann dies eine Weile dauern. Bitte haben Sie etwas Geduld, während dieser Download und die Installation abgeschlossen sind.
Beispielausgabe:
Sobald die Installation abgeschlossen ist, können wir überprüfen, ob Sysdig korrekt installiert ist, indem wir den folgenden Befehl ausführen.
sysdig --version
Wenn die Installation erfolgreich war, gibt dieser Befehl sysdig-Versionsdetails zurück, wie unten gezeigt.
Sie können auch die verschiedenen Fähigkeiten von sysdig ausprobieren, indem Sie den folgenden Befehl ausführen.
sysdig -h
Sysdig verwenden
Nachdem wir nun Sysdig installiert haben, gehen wir einige der grundlegenden Befehle in Sysdig durch.
Als erstes müssen wir den folgenden Befehl ausführen, um die Erfassung der Systemaktivität zu starten. Wir verwenden den Befehl sysdig, um das System zu überwachen. Wir führen den sysdig-Befehl mit dem sudo-Präfix aus, was erforderlich ist, da csysdig Root- oder sudo-Zugriff benötigt, um zu funktionieren.
sudo csysdig
Beispielausgabe:
Wenn sysdig mit der Erfassung von Ereignissen beginnt, beginnt sysdig damit, die Schnittstelle mit Informationen zu füllen. Nach dem Ausführen des obigen Befehls werden die Systemdaten alle zwei Sekunden aktualisiert. Dies wird durch die Variable refresh_rate gesteuert, die standardmäßig auf 2 Sekunden eingestellt ist. Dies kann mit der Konfigurationsdatei von sysdig angepasst werden.
In der obigen Ausgabe sehen Sie Spalten wie PID, Name, CPU und Comm. Dies sind Spaltenbeschreibungen und können angezeigt werden, indem Sie mit der Maus darüber fahren. Die Syntax von Spaltennamen ist [Feldname]-[Felddeskriptor].
Zu den Feldern, die uns am meisten interessieren, gehören normalerweise:
- PID - die PID des Prozesses, der das Ereignis generiert hat.
- PPID - die PID des übergeordneten Prozesses für einen bestimmten Prozess.
- %CPU - wie viel CPU-Zeit ein Prozess verwendet.
- USER - der Benutzername des für den Prozess verantwortlichen Benutzers.
- RES - die Menge an nicht ausgelagertem Speicher, die ein Prozess verwendet.
- Befehl - die Befehlszeile, die den Prozess gestartet hat.
Natürlich gibt es viele andere Spalten, die Sie verwenden können, um tiefer in die Systemaktivität einzutauchen. Und Sysdig kann an Ihre Bedürfnisse angepasst werden.
Da die Systemdaten ständig aktualisiert werden, kann es schwierig sein zu verstehen, was vor sich geht. Wir können die Ausführung von sysdig stoppen, indem wir STRG + C drücken . Sobald die Schnittstelle gelöscht ist, können wir einen sysdig-Befehl mit Optionen und Filtern ausführen, um die gewünschten Daten zu erhalten.
Die Systax ist sysdig [Optionen] [Filter].
Der Filtermechanismus von Sysdig ist sehr leistungsfähig und kann verwendet werden, um genau das zu finden, wonach Sie suchen. Filter bestehen ähnlich wie tcpdump aus einer Kette von einem oder mehreren primitiven Ausdrücken, die durch Konjunktionen („and“, „or“) verbunden und optional durch eine Disjunktion („not“) abgeschlossen werden. Führen Sie den folgenden Befehl aus, um alle Filter anzuzeigen, die wir mit sysdig verwenden können.
sysdig -l
Sie erhalten eine Liste mit einer großen Anzahl von Filtern mit jeweils einer kurzen Beschreibung, wie unten gezeigt.
Da es unmöglich ist, alle abzudecken, behandeln wir einige häufig verwendete Filter.
Wir beginnen mit dem Filter - proc.name=, der es uns ermöglicht, nach bestimmten Prozessnamen herauszufiltern.
Um beispielsweise nach allen Ereignissen für den Prozessnamen „nano“ zu suchen, können wir den folgenden Befehl ausführen.
sudo sysdig proc.name=nano
Beispielausgabe:
Sie können auch Operatoren wie „oder“ und „und“ verwenden, um spezifischere Daten zu erhalten. Beispielsweise können Sie alle Ereignisse entweder für „nano“ oder „vi“ abrufen.
sudo sysdig proc.name=cat or proc.name=vi
Führen Sie den folgenden Befehl aus, um die netzwerkbezogenen Ereignisse anzuzeigen. Sie können in Echtzeit sehen, welche Ports verbunden sind, MAC-Adressen und vieles mehr.
sudo sysdig -c netstat
Beispielausgabe:
Führen Sie den folgenden Befehl aus, um die Prozesse mit dem höchsten CPU-Verbrauch abzurufen.
sudo sysdig -c topprocs_cpu
Beispielausgabe:
Um die Systemaktivität zu erfassen und für eine spätere Analyse zu speichern, verwenden Sie die Option -w, gefolgt von einem Dateinamen. Im folgenden Beispiel erfassen wir die gesamte Ausgabe von sysdig in einer Datei namens „sysdig-output.scap“
sudo sysdig -w sysdig-output.scap
Dieser Befehl weist sysdig an, die Daten kontinuierlich auszugeben, bis es durch Drücken von STRG+C gestoppt wird . Mit der Zeit wird die Datei größer. Sie können das -C verwenden Option zum Erfassen der Systemaktivität in einer Datei mit einer maximalen Größe von einer bestimmten Anzahl von MB.
Der folgende Befehl erstellt beispielsweise alle 1 MB eine neue Datei und speichert die Systemaktivität darin.
sudo sysdig -C 1 -w sysdig-output.scap
Führen Sie den Befehl ls -l aus, um die neu erstellte Datei mit dem Namen „sysdig-output.scap“ wie unten gezeigt anzuzeigen.
ls -l
Die Ausgabe sieht wie folgt aus:
Schlussfolgerung
Sysdig verfügt über eine große Anzahl von Funktionalitäten und kann als großartiges Tool zur Fehlerbehebung und Leistungsanalyse verwendet werden. Und da es Open Source ist, können Sie seine Funktionalität auch durch Meißel erweitern, um Ihre Anforderungen zu erfüllen.
In diesem Artikel haben wir einige der grundlegenden Befehle behandelt, um mit sysdig zu beginnen. Weitere Informationen zu sysdig und seinen Anwendungsfällen finden Sie auf der Dokumentationsseite.