Sysdig là một công cụ phân tích và khắc phục sự cố hệ thống mã nguồn mở mạnh mẽ dành cho Linux, cung cấp khả năng hiển thị sâu vào hành vi của các hệ thống đang chạy. Công cụ này nắm bắt và kiểm tra các cuộc gọi hệ thống và các sự kiện cấp hạt nhân khác, cho phép người dùng có được thông tin chi tiết theo thời gian thực về hoạt động của hệ thống, quy trình, lưu lượng mạng, quyền truy cập tệp, v.v. Sysdig thường được sử dụng để giám sát hiệu suất, kiểm tra bảo mật và gỡ lỗi vì công cụ này có thể theo dõi toàn bộ hoạt động của hệ thống với chi tiết chi tiết. Công cụ này đi kèm với một bộ lọc và đầu ra được xác định trước phong phú, giúp công cụ này linh hoạt cho nhiều trường hợp sử dụng khác nhau, bao gồm giám sát vùng chứa, nơi công cụ này có thể phân tích các ứng dụng được chứa trong vùng chứa. Khả năng ghi lại và phát lại hoạt động của hệ thống của Sysdig khiến nó đặc biệt có giá trị đối với việc phân tích sau sự cố.
Trong hướng dẫn này, tôi sẽ chỉ cho bạn cách cài đặt và sử dụng công cụ giám sát Sysdig trên Linux.
Đối với các hệ điều hành dựa trên RPM như AlmaLinux, Rocky Linux, CentOS, RHEL và Fedora, hãy cài đặt Sysdig bằng lệnh sau lệnh:
Sau khi cài đặt Sysdig, hãy xác minh phiên bản Sysdig đã cài đặt bằng lệnh sau:
Bạn sẽ nhận được thông báo sau đầu ra:
Bạn sẽ thấy màn hình sau:
data:image/svg+xml,%3Csvg%20xmlns=%22http://www.w3.org/2000/svg%22%20width=%22750%22%20height=%22415%22%3E%3C/svg%3E
Bây giờ hãy nhấn F2 để mở menu khác như hiển thị bên dưới:
data:image/svg+xml,%3Csvg%20xmlns=%22http://www.w3.org/2000/svg%22%20width=%22750%22%20height=%22416%22%3E%3C/svg%3E
Từ đây, bạn có thể sử dụng phím mũi tên để chọn bất kỳ mục nào bạn muốn theo dõi ở ngăn bên trái và nhấn Enter. Ví dụ, chọn connections và nhấn Enter. Bạn sẽ thấy tất cả các kết nối đến trên màn hình sau:
data:image/svg+xml,%3Csvg%20xmlns=%22http://www.w3.org/2000/svg%22%20width=%22750%22%20height=%22223%22%3E%3C/svg%3E
Để xem thông tin về Quy trình và CPU, hãy chọn Quy trình CPU và nhấn Enter. Bạn sẽ thấy trang sau:
data:image/svg+xml,%3Csvg%20xmlns=%22http://www.w3.org/2000/svg%22%20width=%22750%22%20height=%22415%22%3E%3C/svg%3E
Nếu bạn muốn theo dõi tất cả các kết nối mạng trực tiếp từ giao diện dòng lệnh, hãy chạy lệnh sau:
Bạn sẽ thấy màn hình sau:
data:image/svg+xml,%3Csvg%20xmlns=%22http://www.w3.org/2000/svg%22%20width=%22750%22%20height=%22341%22%3E%3C/svg%3E
Bạn có thể xem nhật ký yêu cầu HTTP bằng lệnh sau:
Bạn sẽ thấy tất cả các yêu cầu HTTP đến trong các mục sau đầu ra:
Để theo dõi quá trình theo mức sử dụng CPU, hãy chạy lệnh sau:
Bạn sẽ thấy màn hình sau:
data:image/svg+xml,%3Csvg%20xmlns=%22http://www.w3.org/2000/svg%22%20width=%22750%22%20height=%22267%22%3E%3C/svg%3E
Chạy lệnh sau để xem tất cả các tùy chọn có sẵn với lệnh sysdig:
Bạn sẽ thấy màn hình sau:
data:image/svg+xml,%3Csvg%20xmlns=%22http://www.w3.org/2000/svg%22%20width=%22750%22%20height=%22434%22%3E%3C/svg%3E
Bạn có thể sử dụng sysdig với spy_users để hiển thị hoạt động tương tác của người dùng.
Bạn sẽ thấy thông tin sau đầu ra:
Trong hướng dẫn này, tôi sẽ chỉ cho bạn cách cài đặt và sử dụng công cụ giám sát Sysdig trên Linux.
Điều kiện tiên quyết
- Máy chủ chạy Linux. Tôi sẽ sử dụng Ubuntu 24.04 ở đây.
- Mật khẩu gốc được cấu hình trên máy chủ.
Cài đặt Sysdig
Đối với các hệ điều hành dựa trên Debian như Ubuntu và Debian, hãy cài đặt Sysdig bằng lệnh sau:
Mã:
apt install gnupg software-properties-common curl -y
curl -s https://s3.amazonaws.com/download.draios.com/stable/install-sysdig | bash
Mã:
rpm --import https://s3.amazonaws.com/download.draios.com/DRAIOS-GPG-KEY.public
curl -s -o /etc/yum.repos.d/draios.repo https://s3.amazonaws.com/download.draios.com/stable/rpm/draios.repo
dnf install sysdig -y
Mã:
sysdig --version
Mã:
sysdig version 1.61.10Làm việc với Sysdig
Bạn có thể chạy lệnh csysdig để hiển thị các tiến trình đang chạy, mức sử dụng CPU và mức sử dụng bộ nhớ:
Mã:
csysdigdata:image/svg+xml,%3Csvg%20xmlns=%22http://www.w3.org/2000/svg%22%20width=%22750%22%20height=%22415%22%3E%3C/svg%3E
Bây giờ hãy nhấn F2 để mở menu khác như hiển thị bên dưới:
data:image/svg+xml,%3Csvg%20xmlns=%22http://www.w3.org/2000/svg%22%20width=%22750%22%20height=%22416%22%3E%3C/svg%3E
Từ đây, bạn có thể sử dụng phím mũi tên để chọn bất kỳ mục nào bạn muốn theo dõi ở ngăn bên trái và nhấn Enter. Ví dụ, chọn connections và nhấn Enter. Bạn sẽ thấy tất cả các kết nối đến trên màn hình sau:
data:image/svg+xml,%3Csvg%20xmlns=%22http://www.w3.org/2000/svg%22%20width=%22750%22%20height=%22223%22%3E%3C/svg%3E
Để xem thông tin về Quy trình và CPU, hãy chọn Quy trình CPU và nhấn Enter. Bạn sẽ thấy trang sau:
data:image/svg+xml,%3Csvg%20xmlns=%22http://www.w3.org/2000/svg%22%20width=%22750%22%20height=%22415%22%3E%3C/svg%3E
Nếu bạn muốn theo dõi tất cả các kết nối mạng trực tiếp từ giao diện dòng lệnh, hãy chạy lệnh sau:
Mã:
sysdig -c netstatdata:image/svg+xml,%3Csvg%20xmlns=%22http://www.w3.org/2000/svg%22%20width=%22750%22%20height=%22341%22%3E%3C/svg%3E
Bạn có thể xem nhật ký yêu cầu HTTP bằng lệnh sau:
Mã:
sysdig -c httplog
Mã:
2024-08-23 11:21:17.228051410 < method=GET url=69.87.220.62/ response_code=200 latency=1ms size=3138B
2024-08-23 11:21:23.139933688 < method=GET url=69.87.220.62/ response_code=200 latency=1ms size=3138B
Mã:
sysdig -c topprocs_cpudata:image/svg+xml,%3Csvg%20xmlns=%22http://www.w3.org/2000/svg%22%20width=%22750%22%20height=%22267%22%3E%3C/svg%3E
Chạy lệnh sau để xem tất cả các tùy chọn có sẵn với lệnh sysdig:
Mã:
sysdig -cldata:image/svg+xml,%3Csvg%20xmlns=%22http://www.w3.org/2000/svg%22%20width=%22750%22%20height=%22434%22%3E%3C/svg%3E
Bạn có thể sử dụng sysdig với spy_users để hiển thị hoạt động tương tác của người dùng.
Mã:
sysdig -c spy_users
Mã:
13133 11:38:03 root) free -m
13133 11:38:22 root) df -h