这个 SYSDIG 快速参考备忘清单显示了常用命令和配置使用清单,
注意事项:此命令需要依赖kernel-devel,且最好为系统自带的大版本,如:contso7 3.10.x,否则需要自己编译处理依赖。


sudo rpm --import https://download.sysdig.com/DRAIOS-GPG-KEY.public
sudo curl -s -o /etc/yum.repos.d/draios.repo https://download.sysdig.com/stable/rpm/draios.repo
sudo yum -y install sysdig常用参数

参数说明-C 5每个文件不超过5M-W 10保留不超过10个文件-G 60每个文件只保留一分钟内的系统活动-wdump.pcap保存到文件-e 1000每个文件只有1000个事件-z参数对保存的内容进行压缩-A --print-ascii把buffer中数据按照ASCII格式打印,方便阅读-x --print-hex把buffer中数据按照十六进制打印-X --printhex-ascii把buffer中数据同时按照ASCII格式和十六进制打印-s 1024捕获buffer的数据大小,默认为80,设置过大,文件会很大-N不用把端口号转成可读名字-r从文件读取输出含义

事件说明evt.num递增的事件号evt.time事件发生的时间evt.cpu事件被捕获时所在cpuproc.name生成事件的进程名字thread.tid线程id,单线程则为进程idevt.dir事件方向(direction), > 代表进入事件, < 代表退出事件evt.type事件的名称,比如open、stat等,一般为系统调用evt.args事件的参数。如果为系统调用,则对应系统调用的参数chisels常用工具


sysdig -l   #事件类型
sysdig -cl#chisels工具类型常用命令案例:抓取kubernetes pod 客户端ip 为172.27.16.16 的udp请求

# 列出容器监听端口
$ sudo sysdig -pc -A -c netstat container.name=aaa

# 抓取kubernetes pod 的客户端ip为172.27.16.16,3000端口的的请求内容
$ sudo sysdig -A -c echo_fdsk8s.pod.name contains piller-datacenter-guide-web-dev and fd.port=3000 and evt.type=read and fd.cip= fd.proto=UDP

# 按照建立连接数量对进程排序 并保存到sysdig.pcap文件中
$ sysdig-c fdcount_by fd.sport "evt.type=accept"-w sysdig.pcap自定义输出

$ sysdig -p"user:%user.name dir:%evt.arg.path" evt.type=chdir
user:ubuntu dir:/root
user:ubuntu dir:/root/tmp
user:ubuntu dir:/root/Download
字段必须用%作为前缀,所有sysdig -l列出来的字段都可以使用
$ sysdig -p"*%evt.type %evt.dir %evt.arg.name" evt.type=open
open > <NA>
open < /proc/1285/task/1399/stat
open > <NA>
open < /proc/1285/task/1400/io
open > <NA>
open < /proc/1285/task/1400/statm
open > <NA>io案例

$ sysdig -c topprocs_errors

$ sysdig -c topfiles_errors

$ sysdig fd.type=file and evt.failed=true

$ sysdig "proc.name=httpd and evt.type=open and evt.failed=true"

sysdig -c topscalls_time

sysdig -c topscalls "evt.failed=true"

sysdig -p "%12user.name %6proc.pid %12proc.name %3fd.num %fd.typechar %fd.name" evt.type=open and evt.failed=true

sysdig -c fileslower 1

sysdig -c topprocs_file

sysdig -c fdcount_by proc.name "fd.type=file"

sysdig -c topfiles_bytes

sysdig -c topfiles_bytes proc.name=httpd

# Basic opensnoop: snoop file opens as they occur
sysdig -p "%12user.name %6proc.pid %12proc.name %3fd.num %fd.typechar %fd.name" evt.type=open

sysdig -c fdbytes_by fd.directory "fd.type=file"

sysdig -c fdbytes_by fd.filename "fd.directory=/tmp/"

sysdig -A -c echo_fds "fd.filename=passwd"

sysdig -c fdbytes_by fd.type网络

#抓取kubernetes pod 的客户端ip为172.27.16.17,3000端口的的请求内容
$ sudo sysdig -A -c echo_fdsk8s.pod.name contains piller-datacenter-guide-web-dev and fd.port=3000 and evt.type=read and fd.cip= fd.proto=UDP

sysdig -c topprocs_net
as binary:
sysdig -s2000 -X -c echo_fds fd.cip=
sysdig -s2000 -A -c echo_fds fd.cip=

in terms of established connections:
sysdig -c fdcount_by fd.sport "evt.type=accept"
in terms of total bytes:
sysdig -c fdbytes_by fd.sport

in terms of established connections
sysdig -c fdcount_by fd.cip "evt.type=accept"
in terms of total bytes
sysdig -c fdbytes_by fd.cip

sysdig -p"%proc.name %fd.name" "evt.type=accept and proc.name!=httpd"

#显示 wordpress1 容器在端口 80 上发送和接收的数据:
sysdig -A -cecho_fds container.name=wordpress1 and fd.port=80

#实时打印 mysql 容器接收的所有新连接
sysdig -p"%fd.name" container.name=mysql and evt.type=accept进程

sysdig -c topfiles_time

sysdig -c topfiles_time proc.name=httpd

sysdig -c topprocs_errors

sysdig -c topfiles_errors

sysdig fd.type=file and evt.failed=true

sysdig "proc.name=httpd and evt.type=open and evt.failed=true"

sysdig -c topscalls_time

sysdig -c topscalls "evt.failed=true"

sysdig -p "%12user.name %6proc.pid %12proc.name %3fd.num %fd.typechar %fd.name" evt.type=open and evt.failed=true

sysdig -c fileslower 1另见

[*]sysdig wiki(github.com)

