Sysdig je open-source nástroj pro monitorování a řešení problémů napříč platformami. Je to užitečné pro zkušené správce systému i pro ty, kteří poprvé okusí příkazový řádek Linuxu. Může nám poskytnout spoustu informací o tom, co se skutečně děje na našich serverech, kontejnerech nebo desktopech během normálního provozu.
Sysdig přichází s rozhraním příkazového řádku, ale má také webové uživatelské rozhraní pro ty, kteří jsou více nakloněni GUI.
Sysdig shromažďuje systémová data a umožňuje uživateli tato data mnoha způsoby filtrovat a monitorovat. Můžete zachytit provoz do/z kontejneru nebo virtuálního počítače, používat filtry, aby vám systém zobrazoval pouze relevantní události, jako například „pokud proces X naslouchá na portu Y“, a můžete události agregovat do grafických znázornění dlouhodobých trendů. .
Největší předností Sysdigu je jeho hloubka vhledu. Sysdig vám může říct, kde se odehrávají všechna vaše čtení z disku, kolik paketů každý kontejner odesílá/přijímá nebo zda je některý z vašich webových serverů mimo provoz. Dokonce jde o krok navíc a zálohuje tyto informace příslušnými binárními daty (pokud jsou zaznamenány).
Většinu času jako správci systému trávíme odstraňováním problémů, které je těžké reprodukovat nebo identifikovat. Důvodem, proč se tyto problémy tak obtížně ladí, je to, že není dostatek informací, abychom mohli pokračovat.
Sysdig nám může poskytnout dostatek informací k vyřešení těchto problémů. Jakmile máme tyto informace, naše odstraňování problémů je mnohem snazší – často to vypadá jako superschopnost.
Sysdig pracuje na většině hlavních distribucí, včetně CentOS, Ubuntu, Debian, Fedora Core, Arch Linux, Gentoo a dokonce i OSX. Instalace je dostatečně jednoduchá; nevyžaduje to kompilaci zdrojového kódu (yay!), a dokonce existuje oficiální stránka GitHub, která obsahuje pokyny k instalaci pro každou distribuci, kterou Sysdig oficiálně podporuje.
Pro tento článek nainstalujeme Sysdig na server Debian 11. Tento proces je dostatečně jednoduchý a pro začátek nevyžaduje mnoho hlubokých znalostí o Linuxu.
Předpoklady
Abychom mohli nainstalovat sysdig, potřebujeme mít:
- Ssh připojení k našemu vzdálenému serveru.
- Přístup root nebo sudo.
Aktualizace systému
Než budeme pokračovat, je dobré systém aktualizovat. Můžeme to udělat spuštěním:
sudo apt-get update && sudo apt-get upgrade -y
Po dokončení aktualizací spusťte následující příkazy a nainstalujte požadované závislosti. libc6 je standardní knihovna C, kterou používá Sysdig k většině svých těžkých úkolů. curl je nástroj, který načítá soubory pomocí protokolu HTTP nebo HTTPS, a to je to, co použijeme ke stažení sysdig. libcurl3 je závislost na curl.
sudo apt install libc6 libcurl3 gnupg -y
sudo apt install software-properties-common curl -y
Instalace Syndigu na Debian 11
Nyní, když je systém aktualizován, stáhneme a nainstalujeme Sysdig. Spusťte následující příkaz ke stažení a instalaci sysdig.
sudo curl -s https://s3.amazonaws.com/download.draios.com/stable/install-sysdig | sudo bash
V závislosti na specifikacích vašeho serveru to může chvíli trvat. Buďte tedy trpěliví, než bude stahování a instalace dokončena.
Ukázkový výstup:
Po dokončení instalace můžeme zkontrolovat, zda je Sysdig nainstalován správně, spuštěním příkazu níže.
sysdig --version
Pokud byla instalace úspěšná, tento příkaz vrátí podrobnosti o verzi sysdig, jak je uvedeno níže.
Můžete také vyzkoušet různé možnosti sysdig spuštěním následujícího příkazu.
sysdig -h
Použití Sysdig
Nyní, když máme nainstalovaný Sysdig, pojďme si projít některé základní příkazy v Sysdig.
První věc, kterou musíme udělat, je spustit níže uvedený příkaz a začít zaznamenávat aktivitu systému. K monitorování systému používáme příkaz sysdig. Příkaz sysdig spouštíme s předponou sudo, která je vyžadována, protože csysdig vyžaduje ke svému fungování přístup root nebo sudo.
sudo csysdig
Ukázkový výstup:
Jakmile sysdig začne zachycovat události, sysdig začne zaplňovat rozhraní informacemi. Po spuštění výše uvedeného příkazu se systémová data obnovovala každé dvě sekundy. To je řízeno proměnnou refresh_rate, která je standardně nastavena na 2 sekundy. To lze upravit pomocí konfiguračního souboru sysdig.
Ve výstupu výše uvidíte sloupce jako PID, Name, CPU a Comm. Toto jsou popisy sloupců a lze je zobrazit, když na ně najedete myší. Syntaxe názvů sloupců je [název pole]- [deskriptor pole].
Mezi pole, na kterých nám nejvíce záleží, patří:
- PID – PID procesu, který generoval událost.
- PPID – PID nadřazeného procesu pro daný proces.
- %CPU – kolik času procesoru proces využívá.
- USER – uživatelské jméno uživatele odpovědného za proces.
- RES – množství nevyměněné paměti, kterou proces používá.
- Příkaz – příkazový řádek, který spustil proces.
Samozřejmě existuje spousta dalších sloupců, pomocí kterých se můžete ponořit hlouběji do aktivity systému. A Sysdig lze upravit tak, aby vyhovoval vašim potřebám.
Protože se systémová data neustále obnovují, může být obtížné porozumět tomu, co se děje. Spuštění sysdigu můžeme zastavit stisknutímCTRL + C . Jakmile je rozhraní vyčištěno, můžeme spustit příkaz sysdig s možnostmi a filtry, abychom získali požadovaná data.
Systémová taxa je sysdig [volby] [filtry].
Filtrační mechanismus Sysdig je velmi výkonný a lze jej použít k nalezení přesně toho, co hledáte. Filtry, podobně jako tcpdump, se skládají z řetězce jednoho nebo více primitivních výrazů, které jsou spojeny spojkami („a“, „nebo“) a volitelně ukončeny disjunkcí („ne“). Chcete-li zobrazit všechny filtry, které můžeme použít s sysdig, spusťte následující příkaz.
sysdig -l
Získáte seznam s velkým počtem filtrů se stručným popisem každého z nich, jak je uvedeno níže.
Protože je nelze pokrýt všechny, pokryjeme některé běžně používané filtry.
Začneme filtrem - proc.name=, který nám umožňuje filtrovat konkrétní názvy procesů.
Chcete-li například vyhledat všechny události pro název procesu „nano“, můžeme spustit následující příkaz.
sudo sysdig proc.name=nano
Ukázkový výstup:
K získání specifičtějších dat můžete také použít operátory jako „nebo“ a „a“. Můžete například získat všechny události pro „nano“ nebo „vi“.
sudo sysdig proc.name=cat or proc.name=vi
Spuštěním příkazu níže zobrazíte události související se sítí. Můžete vidět, ke kterým portům jsou připojeny, MAC adresy a mnoho dalších v reálném čase.
sudo sysdig -c netstat
Ukázkový výstup:
Spuštěním níže uvedeného příkazu získáte procesy s nejvyšší spotřebou CPU.
sudo sysdig -c topprocs_cpu
Ukázkový výstup:
Chcete-li zachytit aktivitu systému a uložit ji pro pozdější analýzu, použijte volbu -w následovanou názvem souboru. V níže uvedeném příkladu zachytíme veškerý výstup ze sysdig do souboru s názvem „sysdig-output.scap“
sudo sysdig -w sysdig-output.scap
Tento příkaz říká sysdigu, aby nepřetržitě vydával data, dokud jej nezastaví stisknutímCTRL+C . Postupem času se velikost souboru zvětší. Můžete použít -C možnost zachytit aktivitu systému do souboru o maximální velikosti zadaného počtu MB.
Například níže uvedený příkaz vytvoří nový soubor každých 1 MB a uloží do něj aktivitu systému.
sudo sysdig -C 1 -w sysdig-output.scap
Spusťte příkaz ls -l, abyste viděli nově vytvořený soubor s názvem „sysdig-output.scap“, jak je znázorněno níže.
ls -l
Výstup je následující:
Závěr
Sysdig má velké množství funkcí a lze jej použít jako skvělý nástroj pro odstraňování problémů a analýzu výkonu. A protože je to open-source, můžete také rozšířit jeho funkce pomocí sekáčů, aby vyhovovaly vašim potřebám.
V tomto článku jsme se zabývali některými základními příkazy, jak začít s sysdig. Další informace o systému sysdig a jeho případech použití naleznete na stránce dokumentace.