Sysdig : outil pour surveiller le système Linux

Il existe différents outils qui ont été développés afin de nous aider à gérer les ordinateurs gérés de manière beaucoup plus complète et cela est vital car cela nous permet d'avoir un contrôle beaucoup plus direct et de connaître en temps réel le véritable état de chaque système.

Lors de la gestion des environnements Linux, nous disposons d'un outil pratique et simple qui nous aide à analyser le système et c'est Sysdig.

Cette fois, Solvetic analysera comment installer et utiliser Sysdig sur Ubuntu 17.04 Server, mais cette application sera d'une grande aide pour toute distribution Linux à utiliser.

Qu'est-ce que SysdigSysdig est une application open source, qui effectue une analyse au niveau du système lui permettant de capturer l'état du système et l'activité d'une instance Linux en cours d'exécution pour enregistrer, filtrer et analyser ultérieurement les données obtenues.

Sysdig a été écrit en Lua et comprend une interface en ligne de commande et une puissante interface utilisateur interactive, csysdig, qui peut être exécutée dans le terminal. Nous avons actuellement des utilitaires de gestion tels que :
Strace : Découvrez les appels et les signaux du système à un processus.

  • Tcpdump : Surveillance du trafic réseau.
  • Netstat : Surveillance de la connexion réseau.
  • Haut : Surveillance des processus en temps réel.
  • Haut : Surveillance de la bande passante du réseau en temps réel.
  • Lsof : Il permet de visualiser quels fichiers sont ouverts par quel processus.

Avec sysdig, nous aurons intégré tous ces outils et bien d'autres, offrant un programme simple et comptant sur le support des conteneurs.

Fonctionnalités de SysdigCertaines des fonctionnalités les plus remarquables de Sysdig sont :

  • Il est rapide, stable et facile à utiliser avec une documentation complète.
  • Inclut la prise en charge native des technologies de conteneurs, notamment Docker, LXC, etc.
  • Il est programmable en Lua; propose des burins (scripts Lua légers) pour traiter les événements système capturés.
  • Prend en charge le filtrage de sortie.
  • Prend en charge le suivi du système et des applications.
  • Il peut être intégré à Ansible, Pupe et Logstash.
  • Permet d'échantillonner une analyse de journal avancée.
  • Il dispose de fonctionnalités d'analyse des attaques de serveurs Linux (médico-légales) pour les pirates informatiques éthiques et bien plus encore.

1. Installer Sysdig sur Linux

Étape 1
Pour installer Sysdig sur Ubuntu 17.04 Server, nous exécuterons l'une des commandes suivantes qui vérifiera toutes les exigences; si tout est correct, il téléchargera et installera le package à partir du référentiel Draios APT / YUM :

 curl -s https://s3.amazonaws.com/download.draios.com/stable/install-sysdig | bash curl -s https://s3.amazonaws.com/download.draios.com/stable/install-sysdig | sudo bash

AGRANDIR

Étape 2
Une fois le processus d'installation terminé, nous verrons ce qui suit :

AGRANDIR

2. Utiliser Sysdig sur Linux

Étape 1
Après l'avoir installé, vous devez exécuter sysdig en tant que root, car il nécessite un accès à des zones critiques telles que le système de fichiers / dev / sysdig * et devra charger automatiquement le module du noyau sysdig-probe, nous exécuterons ce qui suit :

 sudo sysdig

AGRANDIR

Étape 2
Là, nous pouvons voir une série de données peu complexes, si nous voulons obtenir une vue beaucoup plus simple, nous devrons utiliser l'interface csysdig. Nous exécutons les opérations suivantes :

 sudo csysdig
Étape 3
Le résultat sera le suivant. Nous pouvons voir les données d'une manière beaucoup plus organisée. Il est important de préciser que le but est d'utiliser la commande sysdig pour obtenir le véritable potentiel de l'outil.

AGRANDIR

3. Comprendre les filtres et paramètres Sysdig sous Linux


En un coup d'œil, nous avons pu voir que les données générées par sudo sysdig ils sont complexes et difficiles à comprendre, mais en eux-mêmes ce sont des scripts Lua minimaux pour examiner le flux d'événements sysdig et ainsi effectuer des actions de dépannage utiles pour le système en général.

Étape 1
En exécutant la commande suivante, nous pouvons voir les filtres disponibles :

 sudo sysdig -cl

AGRANDIR

Étape 2
Là, nous pouvons voir les différentes catégories disponibles avec leurs options respectives. Si vous souhaitez en savoir plus sur un filtre en particulier, nous utiliserons l'indicateur -je:

 sudo sysdig -i topprocs_cpu

AGRANDIR

Étape 3
Les filtres Sysdig ajoutent plus de détails sur le type de sortie que nous pouvons obtenir à partir des flux d'événements, ce qui nous permet de personnaliser la sortie. Un filtre simple et commun est une vérification de base "class.field = value". Pour voir une liste des classes de champs disponibles, des champs et leurs descriptions, nous allons exécuter ce qui suit :

 sudo sysdig -l

AGRANDIR

4. Créer un fichier de surveillance du système Linux

Étape 1
Pour vider la sortie sysdig dans un fichier pour une analyse ultérieure, nous devons utiliser le paramètre -w et il sera possible de lire le fichier trace dump avec le paramètre -r.

L'option -s est utilisée pour spécifier le nombre d'octets de données à capturer pour chaque événement système. Dans ce cas, nous filtrons les événements pour le processus mongod.

Étape 2
Par exemple, nous pouvons exécuter ce qui suit :

 sudo sysdig -s 10 -w trace.scap
Étape 3
Pour votre analyse, nous exécuterons les opérations suivantes :
 sudo sysdig -r trace.scap proc.name = mongod

5. Surveiller les processus Linux


Si nous voulons lister tous les processus du système, nous exécuterons ce qui suit :
 sudo sysdig -c ps

AGRANDIR

Nous pouvons voir un résumé complet indiquant le PID, l'utilisateur, l'utilisation de la mémoire, etc.

6. Surveiller les processus par utilisation du processeur sous Linux


Avec Sysdig, il est possible de surveiller les processus par pourcentage d'utilisation du processeur, pour cela, nous exécutons les opérations suivantes :
 sudo sysdig -c topprocs_cpu

AGRANDIR

7. Surveiller les connexions réseau et les périphériques d'E/S sous Linux

Étape 1
Avec Sysdig, nous pouvons surveiller toutes les connexions réseau en exécutant les opérations suivantes :

 sudo sysdig -c netstat

AGRANDIR

Étape 2
Nous pouvons voir toutes les adresses, le protocole utilisé, l'état et le PID. La commande suivante nous permet d'afficher les principales connexions réseau par un nombre défini d'octets :

 sudo sysdig -c topconns
Étape 3
On peut aussi lister les principaux processus par I/OS réseau avec la commande suivante :
 sudo sysdig -c topprocs_net

8. Surveiller les systèmes de fichiers E/S sous Linux

Étape 1
Il sera possible d'émettre les données lues et écrites par les processus du système en utilisant la ligne suivante :

 sudo sysdig -c echo_fds

AGRANDIR

Étape 2
Pour lister les principaux processus par octets disque (lecture et écriture), nous utiliserons la ligne suivante :

 sudo sysdig -c fichier_topprocs

AGRANDIR

9. Résoudre les problèmes de performances sous Linux


Sysdig nous offre la possibilité de surveiller les erreurs d'appel système (goulots d'étranglement) avec l'exécution de la commande suivante :
 sudo sysdig -c goulots d'étranglement

AGRANDIR

Noterpour voir les résultats, nous devons utiliser les touches suivantes pour terminer le processus.

Ctrl + C

10. Découvrez les réseaux lents sous Linux


Avec la commande suivante, il sera possible d'analyser quel périphérique d'E/S réseau est lent dans le système :
 sudo sysdig -c netlower

11. Surveiller les requêtes HTTP sous Linux

Étape 1
Si nous avons un serveur HTTP tel qu'Apache ou Nginx dans le système, nous pouvons rechercher le journal des requêtes du serveur à l'aide de la commande suivante :

 sudo sysdig -c httplog
Étape 2
Ou si nous voulons visualiser les requêtes, nous exécuterons :
 sudo sysdig -c httptop

12. Déploiement de shells et interactivité utilisateur sous Linux

Étape 1
La commande suivante nous permettra de voir tous les identifiants de shell de connexion :

 sudo sysdig -c list_login_shells
Étape 2
Pour voir l'activité des utilisateurs, nous exécuterons les opérations suivantes :
 sudo sysdig -c spy_users

13. Aide Sysdig sur Linux sur Linux


Enfin, nous pouvons accéder à l'aide de sysdig en exécutant l'une des commandes suivantes :
 homme sysdig homme csysdig 

AGRANDIR

De cette façon, sysdig devient une alternative fonctionnelle lorsqu'il s'agit de gérer, de surveiller et de garder un contrôle beaucoup plus précis sur divers aspects du système.

wave wave wave wave wave