Ihr Linux-System ist eine hervorragende Plattform für Server und Desktops. Aber wie bei jedem anderen komplexen System ist eine ordnungsgemäße Überwachung entscheidend, um Ihr System auf Höchstleistung zu halten. Zum Glück ist Sysdig gleich um die Ecke!
Sysdig ist ein umfassendes Linux-Überwachungstool, das Ihr System auf Bedrohungen, Fehler, Nutzungsmuster und vieles mehr überwachen kann. Und in diesem Tutorial lernen Sie, Sysdig zu installieren, während Sie gleichzeitig bestimmte Konfigurationsoptionen hervorheben, wie Sie Ihr Linux-System besser überwachen können.
Lesen Sie weiter und verpassen Sie nie wieder einen „Alarm“!
Voraussetzungen
Dieses Tutorial wird eine praktische Demonstration sein. Wenn Sie mitmachen möchten, stellen Sie sicher, dass Sie Folgendes haben.
- Ein Linux-Rechner – Dieses Tutorial verwendet Ubuntu 20.04 LTS, aber alle Linux-Distributionen funktionieren.
- Ein Nicht-Root-Benutzer mit sudo-Berechtigungen.
Sysdig unter Linux installieren
Das Sysdig-Befehlszeilentool ist normalerweise in den meisten modernen Linux-Distributionen verfügbar, und Sie können Sysdig wie andere Pakete installieren, die Sie bisher auf Ihrem Computer installiert haben.
1. Öffnen Sie Ihr Terminal und führen Sie apt update aus Befehl unten, um sicherzustellen, dass Sie die neuesten Updates aus den Repositories Ihrer Distribution haben. Dieser Befehl aktualisiert die Paketlisten Ihres Systems und kann einige Minuten dauern.
sudo apt update -y
2. Führen Sie als Nächstes apt install aus Befehl unten zum Herunterladen (curl ) und install die notwendigen Pakete für Sysdig. Dieser Befehl installiert auch einige zusätzliche Module, die später in diesem Tutorial wie folgt verwendet werden:
gnupg– Der GNU Privacy Guard ist ein Tool zur sicheren Kommunikation und Datenspeicherung. Dieses Paket ermöglicht das Herunterladen des öffentlichen GPG-Schlüssels von Sysdig, um die Gültigkeit von Sysdig-Paketen zu überprüfen.
software-properties-common– Bietet eine schnelle Möglichkeit, Ihre Softwarequellen über die Befehlszeilenumgebung oder GUI zu verwalten. Mit diesem Paket können Sie denadd-apt-repositoryverwenden Befehl, um die Sysdig-Paket-Repositories hinzuzufügen.
linux-headers-$(uname -r)– Stellt die notwendigen Dateien bereit, um Kernelmodule für Ihren laufenden Kernel zu erstellen. Dieses Paket ist erforderlich, da Sie Sysdig möglicherweise auf einer Maschine mit einem älteren Stock-Kernel installieren.
sudo apt install gnupg software-properties-common curl -y && sudo apt install linux-headers-$(uname -r) -y
3. Führen Sie curl aus Befehl unten, um den öffentlichen GPG-Schlüssel von Sysdig hinzuzufügen (GPG ) an den Schlüsselbund Ihres APT. Mit diesem Befehl können Sie überprüfen, ob die von sysdig.com heruntergeladenen Pakete gültig und unverändert sind.
curl -s https://s3.amazonaws.com/download.draios.com/DRAIOS-GPG-KEY.public | apt-key add -Sie erhalten eine OK-Meldung, nachdem Sie den Schlüssel erfolgreich hinzugefügt haben, wie unten gezeigt.
4. Führen Sie nun curl aus Befehl unten still (-s ) laden Sie die Sysdig-Repositories als draios.list herunter und fügen Sie es Ihrem System hinzu. Die .list teilt Ihrem APT mit, dass die Datei eine Liste von URLs für Repositories ist und nicht nur eine URL.
curl -s -o /etc/apt/sources.list.d/draios.list http://download.draios.com/stable/deb/draios.list
5. Führen Sie apt update erneut aus Befehl unten, um die neuen Sysdig-Repositories herunterzuladen und die Paketlisten Ihres APT mit den Informationen der neuen Repositories zu aktualisieren.
sudo apt update -ySie werden die folgende Ausgabe sehen, wenn Ihr APT richtig konfiguriert ist.
6. Führen Sie nach dem Herunterladen der Sysdig-Repositorys apt install aus Befehl unten an install sysdig auf Ihrer Maschine. Dieser Befehl lädt sysdig herunter und installiert es Paket und seine unterstützenden Pakete.
sudo apt install sysdig -y
7. Führen Sie schließlich sysdig aus Befehl unten, um die auf Ihrem Computer installierte Sysdig-Version zu überprüfen.
sudo sysdig --versionDie Versionsnummer hilft festzustellen, ob Ihr Sysdig-Paket auf dem neuesten Stand ist. Die Version gibt auch Aufschluss darüber, ob sich die Veröffentlichung von Sysdig auf die Systemleistung auswirkt oder nicht.
Wie unten gezeigt, ist 0.28.0 die neueste Version von sysdig zum Zeitpunkt dieses Schreibens. Ihre Versionsnummer könnte anders sein.
Überwachung von Linux-Systemen mit csysdig
Nachdem Sie Sysdig installiert haben, können Sie Sysdig verwenden, um zu sehen, was mit Ihrem System vor sich geht. Das Sysdig-Befehlszeilentool hat viele Flags, die Ihnen verschiedene Ansichten Ihres Systems und seiner Aktivität geben. Das einfachste Beispiel ist csysdig Befehl.
Führen Sie den Befehl csysdig aus ohne Flags, um zu sehen, was gerade auf Ihrem System passiert. Der Befehl zeigt Ihnen die Aktivität aller derzeit laufenden Prozesse.
Beachten Sie, dass Sie Sysdig-Befehle mit
sudoausführen müssen Privileg, vollen Zugriff auf Ihr System zu haben. Einige Systemaktivitäten können standardmäßig für Nicht-Root-Benutzer verborgen werden, wie die Ausgabe des /proc-Dateisystems. Sysdig erfordert auchsudoBerechtigungen zum automatischen Laden der Kernelsymbole, die für viele seiner Tricks erforderlich sind, wie das Kernelmodul sysdig-probe
sudo csysdig
Wenn der folgende Fehler auftritt, müssen Sie ncurses-term neu installieren Paket. Der ncurses-term Paket neigt dazu, nach einer Neuinstallation von Sysdig beschädigt zu werden. Sysdig hängt von ncurses-term ab Paket zur Unterstützung seiner ncurses-Benutzeroberfläche.
Wenn der csysdig Befehl erfolgreich ist, erhalten Sie die folgende Ausgabe, die in Registerkarten organisiert ist.
| Beschreibung | |
| PID | Die vom Linux-Kernel zugewiesene Prozess-ID. Sie verwenden PIDs, um Prozesse zu identifizieren und zu verwalten. |
| PPID | Die übergeordnete Prozess-ID des Prozesses. Sie verwenden PPID, um den Prozess durch seine übergeordneten Prozesse zurückzuverfolgen. Zusammen identifizieren PID und PPID eindeutig einen Prozess auf Ihrem System. |
| Prozessor | Der Prozentsatz der von der Anwendung seit ihrem Start verwendeten CPU kann auf einer Skala von 0 bis 100 % angezeigt werden, wobei 100 % der gesamten CPU-Nutzung entspricht. Sie verwenden die CPU-Auslastung, um Anwendungen zu finden, die Systemressourcen in Anspruch nehmen. |
| BENUTZER | Der Name des Benutzers, der den Prozess gestartet hat. Sie verwenden USER, um herauszufinden, wer einen Prozess ausführt, an dem Sie interessiert sind. |
| TH | Der Name des Benutzers, der den Prozess gestartet hat. Sie verwenden USER, um herauszufinden, wer einen Prozess ausführt, an dem Sie interessiert sind. |
| VIRT | Die Gesamtmenge des virtuellen Speichers, der von der Anwendung verwendet wird. Sie verwenden VIRT, um Anwendungen zu finden, die den Speicher Ihres Systems in Beschlag nehmen. |
| RES | Die Anzahl der residenten Speicherseiten eines Prozesses, die dem physischen Speicher zugeordnet sind. Sie verwenden RES, um Anwendungen zu finden, die den Arbeitsspeicher Ihres Systems belegen. |
| DATEI | Der Dateideskriptor der Festplatte, der von der Anwendung verwendet wird. Sie verwenden FILE, um zu sehen, welche Dateien häufig gelesen oder geschrieben werden, normalerweise ein Hinweis auf I/O-Aktivität. |
| NET | Der von der Anwendung verwendete Netzwerk-Socket-Deskriptor. Sie verwenden NET, um zu sehen, welche Netzwerkverbindungen vom Prozess verwendet werden und wie viele Daten in Byte pro Sekunde übertragen werden. |
| Befehl | Der von der Anwendung verwendete Netzwerk-Socket-Deskriptor. Sie verwenden NET, um zu sehen, welche Netzwerkverbindungen vom Prozess verwendet werden und wie viele Daten in Byte pro Sekunde übertragen werden. |
Auf den ersten Blick ähnelt die csysdig-Oberfläche Überwachungstools wie htop.
Drücken Sie F2 und die oberen Registerkarten ändern sich, um einen neuen Satz von Informationen anzuzeigen, die in Registerkarten auf der linken Seite angeordnet sind, wie unten gezeigt.
Sysdig nennt diese „Ansichten“, weil es sich um verschiedene Systemansichten handelt, die nach der Art der angezeigten Informationen organisiert sind und mehr Kontext bieten. Und da diese Ansichten auf LUA-Skripten basieren, können Sie die Skripte anpassen, um verschiedene Daten aus dem System zu extrahieren und die Ansicht nach Belieben zu ändern.
Standardmäßig befinden sich die LUA-Skripte im Verzeichnis /usr/share/sysdig/chisels Verzeichnis, wie unten gezeigt.
ls /usr/share/sysdig/chisels
CPU-verbrauchende Prozesse mit Sysdig Chisels überwachen
Sysdig bietet mehrere gebrauchsfertige Meißel an, die automatisch bestimmte Systeminformationen sammeln, die als „Meißel“ bekannt sind. Vielleicht erleben Sie eine langsame Leistung Ihrer CPU. Wenn ja, führen Sie sysdig aus Mit einem bestimmten Chisel können Sie anzeigen, welche Anwendungen/Prozesse den größten Teil Ihrer CPU-Auslastung beanspruchen.
1. Führen Sie sysdig aus Befehl unten, um verfügbare Meißel aufzulisten.
sudo sysdig -clDer folgende Screenshot zeigt nur einige Meißel. Aber Sie können die vollständige Liste aller verfügbaren Meißel in der offiziellen Dokumentation finden und lernen.
Sysdig-Meißel sind auch LUA-Skripte. Sie können Erstellen Sie Ihre eigenen Chisel, um bestimmte Systeminformationen zu überwachen, oder implementieren Sie Ihre eigene Ansicht, aber dieses Thema würde den Rahmen dieses Tutorials sprengen.
2. Führen Sie als Nächstes den folgenden Befehl aus, um die detaillierten Informationen anzuzeigen (-i ) über einen bestimmten Meißel, wie topprocs_cpu in dieser Demo.
sudo sysdig -i topprocs_cpuUnten sehen Sie alle Informationen über den Meißel topprocs_cpu, einschließlich des Namens des Meißels, der Kategorie und einer kurzen Beschreibung dessen, was der Meißel tut.
In diesem Beispiel wird der topprocs_cpu-Chisel als CPU-Auslastung kategorisiert und zeigt den Top-Prozess, der durch die höchste CPU-Auslastung definiert ist.
Sobald Sie die Funktionsweise eines Meißels verstanden haben, können Sie mit der Verwendung dieses Meißels beginnen.
3. Führen Sie sysdig aus Befehl unten, der den rechten Meißel angibt (-c topprocs_cpu ), um die Anwendungen zu finden, die die höchste CPU-Auslastung in Ihrem System verbrauchen.
sudo sysdig -c topprocs_cpuSysdig erfasst die 10 CPU-intensiven Prozesse in dieser Demo und gibt sie auf dem Terminal aus. Der CPU-intensivste Prozess wird oben angezeigt (sshd), wodurch er schneller gefunden werden kann.
Überwachung gefilterter Systeminformationen
In einigen Fällen ist die Ausgabe enorm, was es schwierig macht, Systeminformationen basierend auf einem bestimmten Meißel zu filtern. Glücklicherweise bietet Sysdig eine leistungsstarke Filteroption, die die Lua-Syntax verwendet, sodass Sie eine effektive Filterung durchführen können.
Angenommen, Sie suchen nur nach sshd-Prozessen, die zu einer hohen CPU-Auslastung beitragen. Sie können einen Filterausdruck durch eine bestimmte PID oder einen Prozessnamen definieren.
Führen Sie den folgenden sysdig aus Befehl, nur den sshd anzuzeigen Prozess, der viel CPU beansprucht.
sudo sysdig proc.name=sshd
Wie unten gezeigt, erhalten Sie eine gefilterte Ausgabe ohne weitere Prozessinformationen.
Aus der Ausgabe können Sie weitere Informationen über den sshd-Prozess erhalten, z. B. warum der sshd-Prozess mehr CPU oder Speicher verbraucht und so weiter.
Erstellen einer Ereignisprotokolldatei zur Überwachung Ihres Systems
Eine der großartigen Funktionen, die Sysdig bietet, sind Ereignisprotokolldateien, mit denen Sie alle Informationen darüber sammeln können, was Ihre Anwendung oder das System für eine spätere Analyse tut. Die Ereignisprotokolldateien liefern dieselben Informationen wie die Befehlszeilenausgaben in den vorherigen Beispielen, werden jedoch in einer Datei auf der Festplatte gespeichert.
1. Führen Sie den folgenden Befehl aus, um eine Datei zu erstellen (-w ) namens ata.scap in Ihrem Home-Verzeichnis, wo Syslog alle sysdig speichert Ausgänge.
Die Dateierweiterung .scap ermöglicht das Speichern von Datenströmen in Form von menschenlesbarem Text.
sudo sysdig -w ata.scap
2. Führen Sie als Nächstes ls -la aus Befehl unten, um alle Dateien im Arbeitsverzeichnis aufzulisten.
ls -laSie werden eine neue Datei namens ata.scap in Ihrem Home-Verzeichnis bemerken, wie unten gezeigt.
3. Führen Sie abschließend den folgenden Befehl aus, damit Sysdig lesen kann (-r ) die Sysdig-Ereignisprotokolldatei (ata.scap ) und geben Sie das Verhalten Ihres Systems aus, wenn Sie sich per SSH auf Ihrem Server anmelden.
sudo sysdig -r ata.scap
Schlussfolgerung
In diesem Artikel haben Sie gelernt, wie Sie Sysdig unter Ubuntu 20.04 installieren und csysdig verwenden, um Ihre System-, Anwendungs- und Sicherheitsinformationen zu sammeln. Sie haben auch das Erstellen einer Ereignisprotokolldatei angesprochen, mit der Sie das Verhalten Ihres Systems aufzeichnen können.
An diesem Punkt haben Sie erkannt, dass die Installation von Sysdig in Ihrem System Ihnen leistungsstarke Tools zur Verfügung stellt. Und diese Tools helfen Ihnen dabei, mehr Einblicke in die Funktionsweise Ihres Systems, Ihrer Anwendungen und Ihrer Infrastruktur zu erhalten.
Warum lernen Sie jetzt mit diesem neu gewonnenen Wissen nicht, Ihren HTTP-Verkehr mit Sysdig zu dekodieren? Oder wie man Anwendungsengpässe mit Sysdig-Tracern aufspürt?