Sysdig es una herramienta de solución de problemas y supervisión de sistemas multiplataforma de código abierto. Es útil para los administradores de sistemas experimentados, así como para aquellos que están probando por primera vez la línea de comandos de Linux. Puede darnos mucha información sobre lo que realmente sucede en nuestros servidores, contenedores o escritorios durante las operaciones normales.
Sysdig viene con una interfaz de línea de comandos, pero también tiene una interfaz de usuario web para aquellos que están más inclinados a la GUI.
Sysdig recopila datos del sistema y le permite al usuario filtrar y monitorear estos datos de muchas maneras. Puede capturar tráfico hacia/desde un contenedor o máquina virtual, usar filtros para que el sistema solo le muestre eventos relevantes, como "si el proceso X está escuchando en el puerto Y", y puede agregar eventos en representaciones gráficas de tendencias a largo plazo. .
La mayor fortaleza de Sysdig es su profundidad de conocimiento. Sysdig puede decirle dónde están ocurriendo todas las lecturas de su disco, cuántos paquetes está enviando/recibiendo cada contenedor, o si alguno de sus servidores web está caído. Incluso hace un esfuerzo adicional y respalda esta información con datos binarios relevantes (si están registrados).
La mayor parte de nuestro tiempo como administradores de sistemas lo dedicamos a solucionar problemas que son difíciles de reproducir o identificar. La razón por la que estos problemas son tan difíciles de depurar es que no hay suficiente información para continuar.
Sysdig puede darnos suficiente información para resolver estos problemas. Una vez que tenemos esta información, nuestra solución de problemas se vuelve mucho más fácil:a menudo se siente como si tuviera un superpoder.
Sysdig funciona en la mayoría de las principales distribuciones, incluidas CentOS, Ubuntu, Debian, Fedora Core, Arch Linux, Gentoo e incluso OSX. La instalación es bastante simple; no requiere compilar el código fuente (¡sí!), e incluso hay una página oficial de GitHub que tiene instrucciones de instalación para cada distribución compatible oficialmente con Sysdig.
Para este artículo, instalaremos Sysdig en un servidor Debian 11. El proceso es bastante simple y no requiere mucho conocimiento profundo sobre Linux para comenzar.
Requisitos
Para instalar sysdig, necesitamos tener:
- Una conexión ssh a nuestro servidor remoto.
- Acceso root o sudo.
Actualizando el Sistema
Es una buena idea actualizar el sistema antes de continuar. Podemos hacer esto ejecutando:
sudo apt-get update && sudo apt-get upgrade -y
Una vez que se hayan realizado las actualizaciones, ejecute los siguientes comandos para instalar las dependencias requeridas. libc6 es la biblioteca estándar de C utilizada por Sysdig para hacer la mayor parte del trabajo pesado. curl es una herramienta que recupera archivos usando el protocolo HTTP o HTTPS, y es lo que usaremos para descargar sysdig. libcurl3 es una dependencia para curl.
sudo apt install libc6 libcurl3 gnupg -y
sudo apt install software-properties-common curl -y
Instalando Syndig en Debian 11
Ahora que el sistema está actualizado, descarguemos e instalemos Sysdig. Ejecute el siguiente comando para descargar e instalar sysdig.
sudo curl -s https://s3.amazonaws.com/download.draios.com/stable/install-sysdig | sudo bash
Dependiendo de las especificaciones de su servidor, esto puede tomar un tiempo. Por lo tanto, tenga paciencia mientras finaliza la descarga e instalación.
Salida de muestra:
Una vez que se completa la instalación, podemos verificar si Sysdig está instalado correctamente ejecutando el siguiente comando.
sysdig --version
Si la instalación fue exitosa, este comando devolverá los detalles de la versión de sysdig como se muestra a continuación.
También puede consultar las diversas capacidades de sysdig ejecutando el siguiente comando.
sysdig -h
Usando Sysdig
Ahora que tenemos Sysdig instalado, repasemos algunos de los comandos básicos en Sysdig.
Lo primero que debemos hacer es ejecutar el siguiente comando para comenzar a capturar la actividad del sistema. Usamos el comando sysdig para monitorear el sistema. Ejecutamos el comando sysdig con el prefijo sudo, que es obligatorio porque csysdig requiere acceso de root o sudo para funcionar.
sudo csysdig
Salida de muestra:
A medida que sysdig comience a capturar eventos, sysdig comenzará a llenar la interfaz con información. Después de ejecutar el comando anterior, los datos del sistema se actualizan cada dos segundos. Esto está controlado por la variable refresh_rate, que por defecto es de 2 segundos. Esto se puede ajustar usando el archivo de configuración de sysdig.
En el resultado anterior, verá columnas como PID, Nombre, CPU y Comm. Estas son descripciones de columnas y se pueden ver al pasar el mouse sobre ellas. La sintaxis de los nombres de columna es [nombre de campo]-[descriptor de campo].
Los campos que más nos preocupan suelen incluir:
- PID:el PID del proceso que generó el evento.
- PPID:el PID del proceso principal para un proceso determinado.
- %CPU:cuánto tiempo de CPU está usando un proceso.
- USUARIO:el nombre de usuario del usuario responsable del proceso.
- RES:la cantidad de memoria no intercambiada que utiliza un proceso.
- Comando:la línea de comando que inició el proceso.
Por supuesto, hay muchas otras columnas que puede usar para profundizar en la actividad del sistema. Y Sysdig se puede personalizar para satisfacer sus necesidades.
Como los datos del sistema se actualizan continuamente, puede ser difícil entender qué está pasando. Podemos detener la ejecución de sysdig presionando CTRL + C . Una vez que se limpia la interfaz, podemos ejecutar un comando sysdig con opciones y filtros para obtener los datos que queremos.
El sistema es sysdig [opciones] [filtros].
El mecanismo de filtrado de Sysdig es muy poderoso y puede usarse para encontrar exactamente lo que está buscando. Los filtros, similares a tcpdump, consisten en una cadena de una o más expresiones primitivas que están unidas por conjunciones ('y', 'o') y opcionalmente terminadas por una disyunción ('no'). Para mostrar todos los filtros que podemos usar con sysdig, ejecute el siguiente comando.
sysdig -l
Obtendrá una lista con una gran cantidad de filtros con una breve descripción de cada uno, como se muestra a continuación.
Dado que es imposible cubrirlos todos, cubriremos algunos filtros de uso común.
Comenzaremos con el filtro - proc.name=que nos permite filtrar por nombres de procesos específicos.
Por ejemplo, para buscar todos los eventos para el nombre de proceso "nano", podemos ejecutar el siguiente comando.
sudo sysdig proc.name=nano
Salida de muestra:
También puede usar operadores como "o" y "y" para obtener datos más específicos. Por ejemplo, puede obtener todos los eventos para "nano" o "vi".
sudo sysdig proc.name=cat or proc.name=vi
Ejecute el siguiente comando para ver los eventos relacionados con la red. Puede ver a qué puertos están conectados, direcciones MAC y mucho más en tiempo real.
sudo sysdig -c netstat
Salida de muestra:
Ejecute el siguiente comando para obtener los principales procesos que consumen CPU.
sudo sysdig -c topprocs_cpu
Salida de muestra:
Para capturar la actividad del sistema y guardarla para un análisis posterior, use la opción -w, seguida de un nombre de archivo. En el siguiente ejemplo, capturamos toda la salida de sysdig en un archivo llamado "sysdig-output.scap"
sudo sysdig -w sysdig-output.scap
Este comando le dice a sysdig que envíe los datos continuamente hasta que se detenga presionando CTRL+C . Con el tiempo, el archivo crecerá en tamaño. Puedes usar el -C opción para capturar la actividad del sistema en un archivo con un tamaño máximo de un número específico de MB.
Por ejemplo, el siguiente comando creará un nuevo archivo cada 1 MB y almacenará la actividad del sistema en él.
sudo sysdig -C 1 -w sysdig-output.scap
Ejecute el comando ls -l para ver el archivo recién creado con el nombre "sysdig-output.scap" como se muestra a continuación.
ls -l
La salida es la siguiente:
Conclusión
Sysdig tiene una gran cantidad de funcionalidades y se puede utilizar como una gran herramienta para la resolución de problemas y el análisis del rendimiento. Y dado que es de código abierto, también puede ampliar su funcionalidad a través de cinceles para satisfacer sus necesidades.
En este artículo, hemos cubierto algunos de los comandos básicos para comenzar con sysdig. Para obtener más información sobre sysdig y sus casos de uso, consulte su página de documentación.