sysdig_linuxsysdig系统监控神器

sysdig介绍&＃xff1a;

当需要追踪某个进程产生和接收的系统调用时&＃xff0c;你可能会想到strace。你会使用什么样的命令行工具来监控原始网络通信呢&＃xff1f;如果你想到了tcpdump。而如果你碰到必须追踪打开的文件的需求&＃xff0c;可能你会使用lsof。strace、tcpdump和lsof确实是必备的工具&＃xff0c;而这也正是你为什么应该使用sysdig的原因。它是一个强大的开源工具&＃xff0c;用于系统级别的勘察和排障&＃xff0c;它的创建者在介绍它时称之“strace&＃43;tcpdump&＃43;lsof&＃43;上面点缀着lua樱桃的绝妙酱汁”。抛开幽默不说&＃xff0c;sysdig的最棒特性之一在于&＃xff0c;它不仅能分析Linux系统的“现场”状态&＃xff0c;也能将该状态保存为转储文件以供离线检查。更重要的是&＃xff0c;你可以自定义sysdig的行为&＃xff0c;或者甚至通过内建的(你也可以自己编写)名为凿子(chisel)的小脚本增强其功能。单独的凿子可以以脚本指定的各种风格分析sysdig捕获的事件流。

sysdig安装&＃xff1a;

sudo curl -s https://s3.amazonaws.com/download.draios.com/stable/install-sysdig | sudo bash         note:网络不是很稳定&＃xff0c;可以多试几次

sysdig选项&＃xff1a;

sysdig是一个工具箱&＃xff0c;包含很多工具&＃xff0c;同时选项比较多&＃xff0c;这里只选择一些常用的&＃xff0c;其余的读者可以自行man sysdig或sysdig -l等来学习&＃xff1b;

sysdig  -s 指定缓存达到多少字节时保存到磁盘&＃xff0c;也就是一行只保留多少字节。

sysdig  -w  file.scap 把追踪到的数据保存在文件  注意 文件只能用 sysdig命令 才能查看。

sysdig  -r file.scap   阅读保存的数据文件。

sysdig  -cl  列出可以使用的 chisel&＃xff0c;chisel 名为凿子 是一种分析脚本&＃xff0c;sysdig自带的&＃xff0c;也可以自己创建。

sysdig -c chiselName  指定使用 chiselName的脚本来分析数据。

sysdig  -A    (--print-ascii)   表示只打印数据中的文本部分 &＃xff0c;人可以直接读取的部分。

sysdig  -b     (--print-base64) 已base64的格式打印数据&＃xff0c;这个对于需要把数据给别的工具分析比较有用。

默认情况下 sysdig会把捕捉到的事件 按照下面的格式打印&＃xff1a;

%evt.num(事件的序号),%evt.time(事件发生的时间)  %evt.cpu(cpu的序号) %evt.type(事件的名称)  %evt.info   %proc.name(进程名称) %evt.dir    %thread.tid

sysdig -l 可以查看 一个域的用法  比如  sysdig -l fd 。

sysdig使用示例&＃xff1a;

查看所有本机发出的以get方式请求的http请求

sysdig -s 2000  -A -c echo_fds fd.port&＃61;80 and evt.buffer contains GET

查看磁盘io排名

sysdig -c topprocs_file

查看进程占用的网络带宽占比

sysdig -c topprocs_net

查看读写活跃的文件目录排名

sysdig -c fdbytes_by fd.directory "fd.type&＃61;file"

查看cpu使用排名

sysdig -c topproces_cpu

获取机器的所有数据流&＃xff0c;并将数据存储在文件中

sysdig -s 4096 -w file.scap