Категорії
Linux

Sysdig: снифер системных событий для Linux

Sysdig — инструмент системного администрирования для Linux, который перехватывает события на уровне ядра (tracepoints) и сохраняет их для анализа в удобном виде, как tcpdump. В комплекте есть набор скриптов для анализа логов.

Разработчики из компании Draios говорят, что вынуждены были создать такой инструмент. Им надоело мучиться с анализом системных ошибок, особенно на удаленных серверах или виртуальной машине в облачном окружении. Поэтому они сделали нечто похожее на WinPCap и Wireshark, но только для диагностики событий на уровне ядра Linux.

Sysdig со встроенными фильтрами и поддержкой скриптов — уникальный в своем роде инструмент, который сильно облегчает работу системного администратора. Изначально реализована поддержка виртуальных машин. Снифер работает очень эффективно и минимально использует системные ресурсы.

Особо следует отметить, как в Sysdig используются скрипты на языке программирования Lua (их здесь называют «стамески»: chisels). Сейчас коллекция насчитывает около 30 скриптов и постоянно пополняется.

 

Очень неплохой обзор использования опубликован на хабре

Примеры использования Sysdig

Сохранение системной активности в файл для будущей обработки

~$ sysdig -w trace.scap

Отображение названия процесса и информации обо всех входящих соединениях

~$ sysdig -p "%proc.name %fd.name" "evt.type=accept and proc.name!=httpd"

Просмотр файлов, с которыми дольше всего работает веб-сервер

~$ sysdig -c topfiles_time proc.name=httpd

Просмотр, какими сетевыми данными веб-сервер обменивается с 192.168.0.1

~$ sysdig -A -c echo_fds fd.sip=192.168.0.1  and proc.name=httpd

Отображение всех событий, когда открывается файл из /etc

~$ sysdig evt.type=open and fd.name contains /etc

Взято из http://www.xakep.ru/

Залишити відповідь

Ваша e-mail адреса не оприлюднюватиметься. Обов’язкові поля позначені *

Домашняя страничка Andy
Записки молодого админа
Самостоятельная подготовка к Cisco CCNA
Самостоятельная подготовка к Cisco CCNP
Powered by Muff