Sådan overvåges Ubuntu 16 Linux -system med Sysdig

Vedligeholdelse af et operativsystem under optimale forhold giver os mulighed for at være sikre på, at vi altid vil have de nyeste opdateringer, at vi vil have et stabilt system med dets ydeevne i bedste niveauer og altid med tilgængelighed for hver opgave, der skal udføres.

Når vi administrerer operativsystemer som Ubuntu 16 Server Vi skal være meget opmærksomme på alle dens værdier siden en eller anden fejl kan betyde fejl i stabilitet klientcomputere eller fejl under processen.
Selvom der er forskellige værktøjer og applikationer, som vi kan implementere, vil vi denne gang tale detaljeret om Sysdig for hele emnet overvågning af Ubuntu -systemer på en enkel og fuldt funktionel og komplet måde.

Hvad er SysdigSysdig er et gratis værktøj til Åben kilde hvis formål er udforske adfærd af systemet, fange systemets tilstand i realtid, analysere de forekomster, der udføres i Linux for at oprette et filter og gemme disse oplysninger for at opnå et resultat af opførsel af det samme.

Sysdig er skrevet i en LUA script og den indeholder kommandolinje, der kan udføres fra konsollen. Inden for sin hovedform funktioner har:

• Hurtig og stabil.
• Enkel at bruge.
• Stor omfang i systemet.
• Fleksibel.
• Tilpasningsdygtig til den aktuelle arbejdsgang.
• Det kan installeres i systemer Windows og Mac OS.

Som standard Sysdig den analyserer serveren, hvor den er installeret, men vi kan bruge Sysdig Cloud -værktøjet til at styre computere eksternt.

1. Sådan opdateres Ubuntu 16 -system

Det er vigtigt, at før vi installerer et program eller et værktøj i systemet, opdaterer vi dets pakker og lagre, til dette vil vi bruge følgende kommando:

 sudo apt-get opdatering

FORSTØRRE

2. Sådan downloades Sysdig Ubuntu 16 installationsskript

Trin 1
Når systemet er opdateret, er det næste trin at downloade det officielle script til Sysdig installation, til dette vil vi bruge curl kommando og vi indtaster følgende. Vi ser, at scriptet er blevet downloadet til systemet.

 curl https://s3.amazonaws.com/download.draios.com/stable/install-sysdig -o install-sysdig

FORSTØRRE

Trin 2
Dette har downloadet install-sysdig scriptet på systemet, og det anbefales, før vi udfører et script downloadet fra internettet, at vi reviderer og validerer dets indhold, til dette kan vi bruge en editor som nano eller vi eller bruge den mindre kommando efterfulgt af scriptet:

 mindre ./install-sysdig

FORSTØRRE

Trin 3
Når vi har bekræftet, at scriptet er gyldigt, fortsætter vi med at udføre det ved hjælp af cat -kommandoen som følger:

 cat ./install-sysdig | sudo bash

FORSTØRRE

Vi kan se, at scriptet har installeret applikationsafhængighederne samt kernehovederne og modulerne. På denne måde vi har installeret Sysdig på Ubuntu 16 Server.

3. Sådan overvåges Ubuntu 16 -systemet i realtid med Sysdig

Det er vigtigt at præcisere, at for at bruge Sysdig -kommandoen skal du have root -privilegier for at den kan fungere optimalt.

Trin 1
For at køre en overvågning i realtid bruger vi følgende kommando:

 sudo sysdig

FORSTØRRE

Trin 2
Det er en ret omfattende liste, som vi kan stoppe, når vi vil, ved hjælp af følgende tastekombination:

Ctrl + C

FORSTØRRE

Trin 3
Syntaksen for resultaterne udstedt af Sysdig er som følger:

 % evt.num% evt.outputtime% evt.cpu% proc.name (% thread.tid)% evt.dir% evt.type% evt.info

Trin 4
Vi forklarer hver begivenhed herunder:

Evt.numdet er arrangementets nummer som øges linje for linje.

Evt. OutputtimeAngiver tid hvor begivenheden skete.

Evt. CpuEr han CPU -nummer hvor begivenheden blev logget, f.eks. 0.

Proc. YamHenviser til processen, der udløste begivenhedenfor eksempel acpid.

Tråd. TidAngiver TID der genererede processen, som svarer til PID for enkelttrådede processer.

Evt. DirDet er adressen, hvor begivenheden skete, symbolet> repræsenterer input af begivenheder og symbolet <output af begivenheder.

Evt. TypeHenviser til navnet på begivenheden, f.eks. Åben, læst osv.

Evt. InfoAngiv begivenhedens argumenter.

Trin 5
Det er muligt at anvende valgmuligheder og filtre på Sysdig -kommandoen for at opnå mere specifikke resultater til at styre, for dette skal vi bruge følgende syntaks:

 sudo sysdig [option] [filter]

Trin 6
For at se den komplette liste over filtre kan vi bruge følgende kommando. Vi ser, at sFilteret og dets respektive beskrivelse er angivet.

 sysdig -l

FORSTØRRE

Trin 7
Som vi kan se, er der en bred liste over muligheder, nogle af de mest brugte klasser er:

BehandleMed denne klasse filtrerer vi procesinformation som dit id eller navn.

FdDenne mulighed tillader os filterbeskrivelsesinformation fil (FD).

EvtVed hjælp af denne klasse kan vi filtrer begivenhedsoplysninger som hændelsesnummer eller dato det skete.

GruppeTakket være denne klasse kan vi filtrere gruppeoplysninger.

SyslogMed denne parameter filtrerer vi syslog oplysninger, såsom sværhedsgraden og installationen af ​​begivenheden.

Trin 8
For at se, hvordan man bruger filteret i drift, vil vi se alle de hændelser, der er forbundet med acpid -processen, for dette indtaster vi følgende. Det kan vi se er lækket ved den angivne proces.

 sudo sysdig proc.name = acpid

FORSTØRRE

4. Sådan fanger du begivenheder og gemmer dem i en fil ved hjælp af Sysdig

Vi kan ønske butiksarrangementer der forekommer i Ubuntu i en fil til yderligere analyse.

Trin 1
Til dette vil vi bruge følgende syntaks. Vi har tilføjet -w parameter for at angive destinationsfilen.

 sudo sysdig -w Filnavn.scap

Trin 2
For at stoppe optagelsesprocessen bruger vi tastekombinationen Ctrl + C.
Vi kan tilføje parameteren -n for at angive, hvor mange begivenheder der skal registreres med Sysdig, til dette vil vi bruge følgende syntaks:

 sudo sysdig -n 300 -w Filnavn.scap

Trin 3
Nu, hvis vi vil tage disse optagelser i mindre filer, kan vi bruge parameter -C som følger. I dette eksempel gemmer vi begivenhederne i filer, der ikke er større end 2 MB.

 sudo sysdig -C 2 -W 5 -w File.scap

Trin 4
For at liste de gemte filer kan vi bruge følgende syntaks:

 ls -l Filnavn *

FORSTØRRE

Trin 5
Hvis vi f.eks. Vil optage en bestemt begivenhed i en fil skarp, vi kan bruge følgende syntaks. Med denne syntaks vi vil optage 100 begivenheder af acpid processen.

 sudo sysdig -n 100 -w File.scap proc.name = acpid

5. Sådan læses og analyseres de filer, der er optaget med Sysdig i Ubuntu 16

Trin 1
Når vi vil analysere de filer, vi har gemt, vil vi bruge følgende kommando til at læse dem:

 sudo sysdig -r File.scap

Trin 2
I dette tilfælde vil vi bruge følgende linje:

 sudo sysdig -r solvetic.scap

FORSTØRRE

Der har vi alle de poster, der er gemt i filen oprettet med Sysdig.

6. Sådan analyseres systemet generelt med Sysdig i Ubuntu 16

Sysdig indeholder mere end 50 scripts, der giver os mulighed for at udføre forskellige administrative opgaver inden for systemet.

Trin 1
For at se den komplette liste over tilgængelige kommandoer bruger vi følgende kommando:

 sysdig -cl

Trin 2
Det opnåede resultat vil være følgende:

FORSTØRRE

Trin 3
Vi kan se, at hver kommando er segmenteret efter kategorier. Nogle af de mest brugte er:

NetstatDet giver os mulighed for at liste forbindelserne til aktivt netværk.

Spy_usersDet giver os mulighed for at se dyrke motion for hver bruger.

Spy_portViser de oplysninger, der har været transmitteret på hver port.

Spy_IPViser aktiviteten af IP -adresse.

HttptopVis HTTP -anmodninger genereret i systemet.

Trin 4
For at lære mere om hver kommando kan vi bruge parameteren -i som følger

 sudo sysdig -i (kommando)

for eksempel:

 sudo sysdig -i netstat 

Trin 5
For at se detaljeret hvordan kommandoen fungerer, vil vi bruge -c parameter, som følger

 sudo sysdig -c topprocs_cpu

FORSTØRRE

7. Sådan bruges Csysdig til at overvåge og analysere Ubuntu 16

Csysdig det er et værktøj, der er inkluderet inde i sysdig hvilket giver os mulighed for grafisk at overvåge systemet.
Den opfylder de samme funktioner i Sysdig ved at fange begivenheder i realtid, analyse og dens data opdateres hvert andet sekund.

Trin 1
Adgang Csysdig vi vil bruge følgende kommando

 sudo csysdig

FORSTØRRE

Vi kan se, at vi i bunden af ​​konsollen har forskellige adgangs- og visningsmuligheder.

Trin 2
For at få adgang til nogen af ​​disse muligheder skal du blot vælge den tilhørende nøgle, for eksempel for at få adgang til indstillingen Visninger vi vil bruge nøglen F2 og resultatet bliver som følger. Der ser vi en komplet oversigt over de opgaver, der skal udføres med Sysdig.

FORSTØRRE

Trin 3
På samme måde kan vi bruge F7 nøgle for at få adgang til billedteksterne for hver kolonne.

FORSTØRRE

Trin 4
Vi kan få adgang til menuen Handlinger med F8 -tasten for at se adfærden for hver proces og bruger.

FORSTØRRE

Trin 5
Der er nogle muligheder, som vi kan bruge med Csysdig på konfigurationsniveau, nogle af disse er:

• Rediger opdateringstiden for oplysningerne. Vi ved, at den indstillede tid som standard er 2 sekunder, hvis vi vil have denne tid til at blive 5 sekunder, bruger vi følgende kommando

   sudo csysdig -d 5000.

• For at ekskludere bruger- og gruppeoplysninger i feltet Visninger bruger vi følgende kommando

   sudo csysdig -E.

• For at liste begivenhederne for en bestemt bruger, for eksempel Solvetic, bruger vi følgende kommando

   sudo csysdig user.name = solvetisk.

For at se resuméet af en bestemt proces vil vi bruge kommandoen sudo csysdig proc.name = (Procesnavn).
For at se alle de tilgængelige kommandoer vil vi bruge sudo csysdig -l.

På denne måde kan vi bruge Sysdig og Csysdig til en real-time kontrol af vores Ubuntu 16-system og opretholde de bedste niveauer af integritet og optimering. For at have endnu mere kontrol over dit Linux -system har du her en anden mulighed om hvordan man overvåger hardware i Ubuntu Linux.

Overvåg Ubuntu -hardware