Sysdig est un outil de surveillance et de dépannage de système open source et multiplateforme. Il est utile pour les administrateurs système expérimentés ainsi que pour ceux qui découvrent la ligne de commande Linux. Cela peut nous donner une tonne d'informations sur ce qui se passe réellement sur nos serveurs, conteneurs ou bureaux pendant les opérations normales.
Sysdig est livré avec une interface de ligne de commande, mais il dispose également d'une interface utilisateur Web pour ceux qui sont plus enclins à l'interface graphique.
Sysdig collecte les données système et permet à l'utilisateur de filtrer et de surveiller ces données de plusieurs manières. Vous pouvez capturer le trafic vers/depuis un conteneur ou une machine virtuelle, utiliser des filtres pour que le système vous montre uniquement les événements pertinents tels que "si le processus X écoute sur le port Y", et vous pouvez agréger les événements dans des représentations graphiques des tendances à long terme. .
La plus grande force de Sysdig est sa profondeur d'analyse. Sysdig peut vous dire où se déroulent toutes vos lectures de disque, combien de paquets chaque conteneur envoie/reçoit ou si l'un de vos serveurs Web est en panne. Il va même plus loin et sauvegarde ces informations avec des données binaires pertinentes (si enregistrées).
La plupart de notre temps en tant qu'administrateurs système est consacré à la résolution de problèmes difficiles à reproduire ou à identifier. La raison pour laquelle ces problèmes sont si difficiles à déboguer est qu'il n'y a pas assez d'informations pour continuer.
Sysdig peut nous donner suffisamment d'informations pour résoudre ces problèmes. Une fois que nous avons ces informations, notre dépannage devient tellement plus facile - on a souvent l'impression d'avoir un super pouvoir.
Sysdig fonctionne sur la plupart des distributions majeures, y compris CentOS, Ubuntu, Debian, Fedora Core, Arch Linux, Gentoo et même OSX. L'installation est assez simple; il ne nécessite pas de compiler le code source (yay !), et il existe même une page GitHub officielle contenant des instructions d'installation pour chaque distribution officiellement prise en charge par Sysdig.
Pour cet article, nous allons installer Sysdig sur un serveur Debian 11. Le processus est assez simple et ne nécessite pas beaucoup de connaissances approfondies sur Linux pour démarrer.
Prérequis
Pour installer sysdig, nous avons besoin de :
- Une connexion ssh à notre serveur distant.
- Accès root ou sudo.
Mise à jour du système
C'est une bonne idée de mettre à jour le système avant de continuer. Nous pouvons le faire en exécutant :
sudo apt-get update && sudo apt-get upgrade -y
Une fois les mises à jour effectuées, exécutez les commandes suivantes pour installer les dépendances requises. libc6 est la bibliothèque standard C utilisée par Sysdig pour faire la plupart de ses travaux lourds. curl est un outil qui récupère des fichiers en utilisant le protocole HTTP ou HTTPS, et c'est ce que nous allons utiliser pour télécharger sysdig. libcurl3 est une dépendance de curl.
sudo apt install libc6 libcurl3 gnupg -y
sudo apt install software-properties-common curl -y
Installer Syndig sur Debian 11
Maintenant que le système est mis à jour, téléchargeons et installons Sysdig. Exécutez la commande suivante pour télécharger et installer sysdig.
sudo curl -s https://s3.amazonaws.com/download.draios.com/stable/install-sysdig | sudo bash
Selon les spécifications de votre serveur, cela peut prendre un certain temps. Veuillez donc patienter pendant que ce téléchargement et cette installation se terminent.
Exemple de résultat :
Une fois l'installation terminée, nous pouvons vérifier si Sysdig est correctement installé en exécutant la commande ci-dessous.
sysdig --version
Si l'installation a réussi, cette commande renverra les détails de la version de sysdig comme indiqué ci-dessous.
Vous pouvez également vérifier les différentes fonctionnalités de sysdig en exécutant la commande suivante.
sysdig -h
Utiliser Sysdig
Maintenant que Sysdig est installé, passons en revue certaines des commandes de base de Sysdig.
La première chose que nous devons faire est d'exécuter la commande ci-dessous pour commencer à capturer l'activité du système. Nous utilisons la commande sysdig pour surveiller le système. Nous exécutons la commande sysdig avec le préfixe sudo, qui est requis car csysdig nécessite un accès root ou sudo pour fonctionner.
sudo csysdig
Exemple de sortie :
Lorsque sysdig commence à capturer des événements, sysdig commence à remplir l'interface avec des informations. Après avoir exécuté la commande ci-dessus, les données système sont actualisées toutes les deux secondes. Ceci est contrôlé par la variable refresh_rate, dont la valeur par défaut est de 2 secondes. Cela peut être ajusté à l'aide du fichier de configuration de sysdig.
Dans la sortie ci-dessus, vous verrez des colonnes telles que PID, Name, CPU et Comm. Ce sont des descriptions de colonnes et peuvent être vues en passant votre souris dessus. La syntaxe des noms de colonne est [nom du champ]-[descripteur de champ].
Les champs qui nous intéressent le plus incluent :
- PID - le PID du processus qui a généré l'événement.
- PPID - le PID du processus parent pour un processus donné.
- %CPU :combien de temps CPU utilise un processus.
- USER - le nom d'utilisateur de l'utilisateur responsable du processus.
- RES - la quantité de mémoire non échangée qu'un processus utilise.
- Command :la ligne de commande qui a démarré le processus.
Bien sûr, il existe de nombreuses autres colonnes que vous pouvez utiliser pour approfondir l'activité du système. Et Sysdig peut être personnalisé pour répondre à vos besoins.
Comme les données du système sont continuellement actualisées, il peut être difficile de comprendre ce qui se passe. Nous pouvons arrêter l'exécution de sysdig en appuyant sur CTRL + C . Une fois l'interface effacée, nous pouvons exécuter une commande sysdig avec des options et des filtres pour obtenir les données souhaitées.
La syntaxe est sysdig [options] [filtres].
Le mécanisme de filtrage de Sysdig est très puissant et peut être utilisé pour trouver exactement ce que vous recherchez. Les filtres, similaires à tcpdump, consistent en une chaîne d'une ou plusieurs expressions primitives qui sont liées par des conjonctions ('et', 'ou') et éventuellement terminées par une disjonction ('non'). Pour afficher tous les filtres que nous pouvons utiliser avec sysdig, exécutez la commande suivante.
sysdig -l
Vous obtiendrez une liste avec un grand nombre de filtres avec une brève description de chacun comme indiqué ci-dessous.
Puisqu'il est impossible de tous les couvrir, nous couvrirons certains filtres couramment utilisés.
Nous allons commencer par le filtre - proc.name=qui nous permet de filtrer des noms de processus spécifiques.
Par exemple, pour rechercher tous les événements pour le nom de processus "nano", nous pouvons exécuter la commande suivante.
sudo sysdig proc.name=nano
Exemple de sortie :
Vous pouvez également utiliser des opérateurs tels que "ou" et "et" pour obtenir des données plus spécifiques. Par exemple, vous pouvez obtenir tous les événements pour "nano" ou "vi".
sudo sysdig proc.name=cat or proc.name=vi
Exécutez la commande ci-dessous pour voir les événements liés au réseau. Vous pouvez voir à quels ports sont connectés, les adresses MAC et bien d'autres en temps réel.
sudo sysdig -c netstat
Exemple de sortie :
Exécutez la commande ci-dessous pour obtenir les processus les plus gourmands en CPU.
sudo sysdig -c topprocs_cpu
Exemple de sortie :
Afin de capturer l'activité du système et de l'enregistrer pour une analyse ultérieure, utilisez l'option -w, suivie d'un nom de fichier. Dans l'exemple ci-dessous, nous capturons toutes les sorties de sysdig dans un fichier nommé "sysdig-output.scap"
sudo sysdig -w sysdig-output.scap
Cette commande indique à sysdig de sortir les données en continu jusqu'à ce qu'il soit arrêté en appuyant sur CTRL+C . Avec le temps, le fichier grossira. Vous pouvez utiliser le -C option pour capturer l'activité du système dans un fichier d'une taille maximale d'un nombre spécifié de Mo.
Par exemple, la commande ci-dessous créera un nouveau fichier tous les 1 Mo et y stockera l'activité du système.
sudo sysdig -C 1 -w sysdig-output.scap
Exécutez la commande ls -l pour voir le fichier nouvellement créé avec le nom "sysdig-output.scap" comme indiqué ci-dessous.
ls -l
Le résultat est le suivant :
Conclusion
Sysdig possède un grand nombre de fonctionnalités et peut être utilisé comme un excellent outil de dépannage et d'analyse des performances. Et comme il s'agit d'un logiciel open source, vous pouvez également étendre ses fonctionnalités à l'aide de ciseaux pour répondre à vos besoins.
Dans cet article, nous avons couvert certaines des commandes de base pour démarrer avec sysdig. Pour en savoir plus sur sysdig et ses cas d'utilisation, veuillez consulter sa page de documentation.