Sysdig - लिनक्स-सिस्टम के निदान के लिए एक उपकरण

उपयोगिताओं का एक पूरा सेट लिनक्स में सिस्टम की जानकारी एकत्र करने और विश्लेषण करने के लिए उपयोग किया जाता है। सिस्टम घटकों में से प्रत्येक का निदान करने के लिए एक अलग नैदानिक ​​उपकरण का उपयोग किया जाता है।







सबसे आम नैदानिक ​​उपयोगिताओं पर जानकारी रेखांकन निम्नलिखित चित्र में प्रस्तुत की गई है:







हमने हाल ही में ड्रेओस द्वारा विकसित Sysdig उपयोगिता के बारे में सीखा। वह पूरी तरह से सब कुछ के बारे में जानकारी एकत्र करती है:

• इनबाउंड नेटवर्क कनेक्शन और संबंधित प्रक्रियाओं के बारे में
• उन फ़ाइलों के बारे में जो I / O सिस्टम पर सबसे बड़े लोड के साथ काम करते हैं;
• प्रक्रियाओं के संबंध में यातायात के बारे में;
• उपयोगकर्ताओं द्वारा एक्सेस की गई फ़ाइलों और निर्देशिकाओं के बारे में;
• सिस्टम कॉल, फ़ाइल और नेटवर्क कनेक्शन के बारे में जो एक त्रुटि के साथ समाप्त हो गए ...

Sysdig को एक उपकरण के रूप में तैनात किया जाता है जो सिस्टम प्रशासक के काम को बहुत आसान बनाता है। डेवलपर की साइट पर उसके बारे में एक लेख पढ़ने के बाद, हमने इसका परीक्षण करने का फैसला किया।

DTrace, Systemtap और Sysdig

काम कर रहे लिनक्स सिस्टम के बारे में जानकारी एकत्र करने के लिए उन्नत उपकरण बनाने के पहले प्रयास से Sysdig दूर है।

समान कार्यक्षमता वाले उपकरणों में, सबसे पहले, सबसे पहले, सन माइक्रोसिस्टम्स द्वारा विकसित एक गतिशील अनुरेखण ढांचा, DTrace का उल्लेख किया जाना चाहिए। इसका उपयोग मेमोरी खपत की मात्रा, प्रोसेसर समय, नेटवर्क संसाधनों की निगरानी के लिए किया जाता है जो कि एक रनिंग सिस्टम पर सक्रिय प्रक्रियाओं द्वारा उपयोग किया जाता है।



DTrace D भाषा में लिपियों का उपयोग करता है (C- जैसी भाषा, जिसमें अनुरेखण के लिए विशेष कार्य और चर भी शामिल हैं)। लिपियों में जांच की एक सूची शामिल होती है जो कुछ कार्यों के अनुरूप होती है। किसी दिए गए शर्त को पूरा करने पर सेंसर चालू हो जाते हैं (उदाहरण के लिए, जब कोई फ़ाइल खोलते हैं या कोई प्रक्रिया शुरू करते हैं), जिसके बाद संबंधित कार्रवाई की जाती है। एक सेंसर से दूसरे में जानकारी प्रसारित करना संभव है।



DTrace एक शक्तिशाली अभी तक परिष्कृत उपकरण है। इसके लिए उपयोगकर्ता को काफी गहन तकनीकी ज्ञान की आवश्यकता होती है। डी-स्क्रिप्ट लेखन और डिबगिंग भी एक समय लेने वाली है (विशेषकर उन उपयोगकर्ताओं के लिए जिनके पास आवश्यक प्रोग्रामिंग कौशल नहीं है) समय लेने वाली प्रक्रिया।



सिस्टमटैप टूल काम के सिद्धांत और कार्यों के एक सेट (एक साल पहले, हैबे पर इसके बारे में एक छोटा लेख प्रकाशित किया गया था) द्वारा DTrace के बहुत करीब है। Systemtap एक कमांड लाइन इंटरफेस और स्क्रिप्टिंग भाषा है। यह सिस्टम की घटनाओं की निगरानी करता है और, किसी ईवेंट की स्थिति में, इसके लिए एक हैंडलर प्रदान करता है।



उदाहरणों में शामिल हो सकते हैं, उदाहरण के लिए, सिस्टमटैप सत्र की शुरुआत या अंत, एक टाइमर, आदि)। ईवेंट हैंडलर स्क्रिप्ट स्टेटमेंट का एक क्रम है जो किसी ईवेंट के आग लगने पर निष्पादित होता है। आमतौर पर, हैंडलर किसी घटना के संदर्भ में जानकारी को अलग करते हैं या कंसोल पर प्रदर्शित करते हैं।



SystemTap का एक महत्वपूर्ण नुकसान स्क्रिप्टिंग भाषा का बहुत ही जटिल सिंटैक्स है। लेखन और डिबगिंग स्क्रिप्ट भी उपयोगकर्ता से बहुत समय और प्रयास लेता है।



ऊपर वर्णित उपकरणों के विपरीत, Sysdig की एक अलग संरचना है। वास्तुकला में, यह libcap, tcpdump, wirehark जैसे उत्पादों के करीब है। एक विशेष sysdig जांच चालक कर्नेल स्तर पर सिस्टम ईवेंट को कैप्चर करता है, जिसके बाद ट्रेस पॉइंट का कर्नेल फ़ंक्शन लॉन्च किया जाता है, जो बदले में, इन ईवेंट के लिए हैंडलर चलाता है। हैंडलर घटना की जानकारी साझा बफर में स्टोर करते हैं। यह जानकारी तब प्रदर्शित की जा सकती है या पाठ फ़ाइल में सहेजी जा सकती है।



इस वास्तुकला के लिए धन्यवाद, sysdig सिस्टम प्रदर्शन को प्रभावित नहीं करता है। सिस्टम घटनाओं के बारे में विस्तृत जानकारी सरल आदेशों का उपयोग करके प्राप्त की जा सकती है। कुछ ऑपरेशन करने के लिए, लूआ भाषा में तैयार लिपियों का उपयोग किया जाता है (उनके बारे में अधिक विवरण नीचे चर्चा की जाएगी)।

स्थापना

Sysdig अभी तक आधिकारिक रिपॉजिटरी में शामिल नहीं है। Sysdig की स्वचालित स्थापना शुरू करने के लिए, आपको निम्नलिखित कमांड चलाने की आवश्यकता है:

 curl -s https://s3.amazonaws.com/download.draios.com/stable/install-sysdig |  सुडो बैश

आप आधिकारिक प्रलेखन में विभिन्न लिनक्स वितरणों के लिए मैनुअल इंस्टॉलेशन प्रक्रियाओं के बारे में अधिक पढ़ सकते हैं।

पहले परिचित थे

स्थापना पूर्ण होने के बाद, निम्न कमांड दर्ज करें:

 # sysdig

सिस्टम में होने वाली सभी घटनाओं को मानक आउटपुट के लिए लिखा जाएगा:

 63889 15: 25: 12.908695644 3 सूचना-ओएसडी (7209)> पोल fds = 3: u5 टाइमआउट = 4294967295 
 63890 15: 25: 12.908698249 3 नोटिफ़ाइड-ओएसडी (7209) राइटवा fd = 3 (<u>) आकार = 4 
 63893 15: 25: 12.908704065 2 सूक्ति-टर्मिनल (18260)> lseek fd = 24 (/ tmp / vteIVHGFX (हटाए गए)) ऑफ़सेट = 0 स्थान = 2 (SEB_END) 
 63894 15: 25: 12.908704595 2 सूक्ति-टर्मिनल (18260) lseek fd = 24 (/ tmp / vteIVHGFX (हटाए गए)) ऑफसेट = 0 व्हेन = 2 (SEEK_END) 
 63896 15: 25: 12.908709655 2 सूक्ति-टर्मिनल (18260) लिखिए fd = 24 (/ tmp / vteIVHGFX (हटाए गए)) आकार = 80 
 63899 15: 25: 12.908710722 3 नोटिफ़ाइड-ओएसडी (7209)> राइटव रेस = 4 डेटा = + ... 
 63900 15: 25: 12.908713828 3 सूचना-ओएसडी (7209) <पोल fds = 3: u1 टाइमआउट = 4294967295 
 63901 15: 25: 12.908714531 2 सूक्ति-टर्मिनल (18260) <res = 80 डेटा = 1275 15: 25: 12.596942000 1 rs: मुख्य (941) <खुला fd - -2 (ENOENT) नाम = / dev / xconsole 

प्रत्येक आउटपुट लाइन में एक ईवेंट के बारे में जानकारी होती है। इसे निम्नलिखित प्रारूप में प्रदर्शित किया जाता है:

 % evt.num% evt.time% evt.cpu% proc.name (% thread.tid)% evt.dir% evt.type% evt.args

आउटपुट में निम्न फ़ील्ड शामिल हैं:

• evt.num - घटना संख्या;
• evt.time - घटना का समय;
• evt.cpu - प्रोसेसर संख्या जिसमें ईवेंट को इंटरसेप्ट किया गया था;
• proc.name प्रक्रिया का नाम है;
• Thread.tid - थ्रेड नंबर (सिंगल-थ्रेडेड प्रोसेस के लिए, यह प्रोसेस नंबर के साथ मेल खाता है);
• evt.dir - घटना दिशा (<- आने वाली प्रक्रियाओं के लिए,> - आउटगोइंग के लिए);
• evt.type - घटना का प्रकार;
• evt.args - घटना तर्क।

फाइलों में जानकारी सहेजना

घटना की जानकारी है कि sysdig एकत्र करता है अलग फ़ाइलों में संग्रहीत किया जा सकता है। ऐसा करने के लिए, प्रपत्र की एक कमांड का उपयोग करें:

 # sysdig -w myfile.scap

यदि सभी सिस्टम ईवेंट के बारे में नहीं, बल्कि उनकी सीमित संख्या (केवल 100 ईवेंट के बारे में) के बारे में फाइल जानकारी लिखना आवश्यक है, तो -n विकल्प का उपयोग किया जाता है:

 # sysdig –n 100-w myfile.scap

कंसोल में फ़ाइल में पहले से संग्रहीत जानकारी को आउटपुट करने के लिए, -r विकल्प का उपयोग करें:

 # sysdig -r myfile.scap

Sysdig प्रत्येक फ़ाइल में ऑपरेटिंग सिस्टम का पूरा स्नैपशॉट बचाता है (चल रही प्रक्रिया, सक्रिय फ़ाइलें, सक्रिय उपयोगकर्ता, आदि)।

फिल्टर

जैसा कि हमने पहले ही उपरोक्त उदाहरणों से देखा है, sysdig घटनाओं के बारे में सभी जानकारी मानक आउटपुट में लिखता है। हम यह सुनिश्चित कर सकते हैं कि केवल जो जानकारी हमें चाहिए वह कंसोल पर प्रदर्शित हो। इसके लिए फिल्टर का इस्तेमाल किया जाता है।



उन्हें रेखा के अंत में संकेत दिया जाता है (उदाहरण के लिए, tcpdump में)। वे मक्खी पर रिकॉर्डिंग की घटनाओं, और जब एक फ़ाइल को लिखने के लिए दोनों का उपयोग किया जा सकता है। आइए एक कमांड के काम को ट्रैक करने का प्रयास करें और उदाहरण के लिए, बिल्ली:

 # sysdig proc.name = बिल्ली 

 21368 13: 10: 15.384878134 1 बिल्ली (8298) <Res res = 0 exe ​​= cat args = index.html निष्पादित करें।  tid = 8298 (cat) pid = 8298 (cat) ptid = 1978 (bash) cwd = / root fdlimit = 1024
 21371 13: 10: 15.384948635 1 बिल्ली (8298)> ईंट का आकार = 0
 21372 13: 10: 15.384949909 1 बिल्ली (8298) <brk res = 10665984
 21373 13: 10: 15.384976208 1 बिल्ली (8298)> मिमीप
 21374 13: 10: 15.384979452 1 बिल्ली (8298) <mmap
 21375 13: 10: 15.384990980 1 बिल्ली (8298)> पहुंच
 21376 13: 10: 15.384999211 1 बिल्ली (8298) <पहुंच
 21377 13: 10: 15.385008602 1 बिल्ली (8298)> खुला
 21378 13: 10: 15.385014374 1 बिल्ली (8298) <खुले fd = 3 (/etc/ld.so.cache) नाम = / etc / ld.so.cache झंडे = 0 (O_NONE) मोड = 0
 21379 13: 10: 15.385015508 1 बिल्ली (8298)> fstat fd = 3 (/etc/ld.so.cache)
 21380 13: 10: 15.385016588 1 बिल्ली (8298) <fstat res = 0
 21381 13: 10: 15.385017033 1 बिल्ली (8298)> मिमीप
 21382 13: 10: 15.385019763 1 बिल्ली (8298) <mmap
 21383 13: 10: 15.385020047 1 बिल्ली (8298)> करीब fd = 3 (/etc/ld.so.cache)
 21384 13: 10: 15.385020556 1 बिल्ली (8298) <करीब Res = 0

चलो फ़िल्टर लागू करने का प्रयास करें। उन्हें मानक तुलना ऑपरेटरों (=; =, <, <=>,> =, युक्तियों) का उपयोग करके सेट किया जा सकता है। आप बूलियन ऑपरेटरों (या, और नहीं) और कोष्ठक का उपयोग कर सकते हैं।



निम्नलिखित कमांड दर्ज करें:

 # sysdig proc.name = cat और proc.name = vi

यह बिल्ली और vi कार्यक्रमों की सभी गतिविधि को ट्रैक करेगा:

 56239 12: 14: 01.449463618 0 ब्राउज़रब्लॉकिंग (2587)> खुला 
 56240 12: 14: 01.449467018 0 BrowserBlocking (2587) <खुले fd = 142 (/ proc / 16213 / प्रतिमा) नाम = / proc / 16213 / प्रतिमा झंडे = 1 (O_RONONLY) मोड = 0 
 63158 12: 14: 01.493237287 3 सूक्ति-टर्मिनल (3910)> खुला 
 63177 12: 14: 01.493281181 3 सूक्ति-टर्मिनल (3910) <खुला fd = 18 (/ tmp / vteHGSYFX) नाम = / tmp / vteHGSYFX झंडे (39) (O_EXCL | O_CREAT | O_RDWR) मोड = 0 
 63200 12: 14: 01.493309748 3 सूक्ति-टर्मिनल (3910)> खुला 
 63205 12: 14: 01.493319526 3 सूक्ति-टर्मिनल (3910) <खुले fd = 18 (/ tmp / vteHESYFX) नाम = / tmp / vteHESYFX झंडे = 39 (O_EXCL | O_CREAT; O_RDWR) मोड = 0 

टीम

 # sysdig proc.name! = cat और evt.type = open

बिल्ली को छोड़कर सभी प्रक्रियाओं के लिए खुली घटनाओं पर सूचना का उत्पादन करेगा:

 2111 12: 15: 47.656367409 1 आरएस: मुख्य (914)> खुला 
 2112 12: 15: 47.656368926 1 आरएस: मुख्य (914) खुला 
 2114 12: 15: 47.656371170 1 आरएस: मुख्य (914) खुला 
 2116 12: 15: 47.656374373 1 आरएस: मुख्य (914) खुला 
 2118 12: 15: 47.656376563 1 आरएस: मुख्य (914) खुला 
 2120 12: 15: 47.656378615 1 आरएस: मुख्य (914) खुला 

फ़िल्टर की पूरी सूची कमांड दर्ज करके देखी जा सकती है

 # sysdig -l

(विस्तृत विवरण और टिप्पणियां यहां देखें)।



फ़िल्टर का उपयोग करके, आप आसानी से उपयोगी और महत्वपूर्ण जानकारी प्राप्त कर सकते हैं। उदाहरण के लिए, आप एक साधारण कमांड का उपयोग करके अपाचे को छोड़कर सभी प्रक्रियाओं द्वारा प्राप्त आने वाले नेटवर्क कनेक्शन के बारे में जानकारी देख सकते हैं:

 # sysdig evt.type = accept और proc.name! = apache

जैसा कि ऊपर बताया गया है, sysdig आउटपुट में evt.arg और evt.rawarg फ़ील्ड शामिल हैं। उन पर अलग से चर्चा की जानी चाहिए। Sysdig द्वारा दर्ज की गई प्रत्येक घटना एक निश्चित प्रकार (उदाहरण के लिए, ओपन, रीड, इत्यादि) की है, और इसके कुछ पैरामीटर (fd, name, आदि) भी हैं, जो कुछ नियमों के अनुसार एन्कोडेड हैं। हम विस्तार से इन सभी का विश्लेषण नहीं करेंगे (हम इच्छुक पाठकों को आधिकारिक प्रलेखन के लिए संदर्भित करते हैं) और इन तर्कों का उपयोग फ़िल्टर बनाने के लिए कैसे किया जा सकता है, इस पर ध्यान दें।



निम्नलिखित आदेश पर विचार करें:

 # sysdig evt.type = निष्पादित और evt.arg.ptid = bash

यह कंसोल पर इंटरैक्टिव उपयोगकर्ताओं द्वारा शुरू की गई प्रक्रियाओं की एक सूची प्रदर्शित करेगा। स्थापित फ़िल्टर सिस्टम कॉल को निष्पादित करना स्वीकार करता है (जो प्रोग्राम निष्पादित करने के लिए उपयोग किया जाता है) केवल अगर बैश उनके लिए मूल प्रक्रिया है।



Evt.arg और evt.rawarg के बीच अंतर यह है कि उत्तरार्द्ध प्रक्रिया पहचान संख्या, त्रुटि कोड आदि को डिक्रिप्ट नहीं करता है, सभी तर्कों को कच्चे डिजिटल रूप में छोड़ देता है।

उदाहरण के लिए, आप उन प्रक्रियाओं की सूची देख सकते हैं जिनके कारण कमांड का उपयोग करने में त्रुटि हुई:

 # sysdig "evt.rawarg.res <0 या evt.rawarg.fd <0"

 257727 15: 57: 35.398754060 3 क्रोम (17326) <futex Res = -110 (ETIMEDOUT) 
 257737 15: 57: 35.399218996 0 क्रोम (2493) <recvfrom res = -11 (EAGAIN) डेटा = tuple = NULL 
 257749 15: 57: 35.399362914 1 Xorg (1153) <res = -11 (EAGO) = पढ़ें 
 257834 15: 57: 35.401067094 0 क्रोम (2493) <recvfrom res = -11 (EAGAIN) डेटा = टपल = NULL 
 257836 15: 57: 35.401106092 0 क्रोम (2493) <recvfrom res = -11 (EAGAIN) डेटा = टपल = NULL 
 257849 15: 57: 35.402594284 2 क्रोम (4446) <futex res = -110 (ETIMEDOUT) 
 257882 15: 57: 35.407348870 0 क्रोम (2493) <recvfrom res = -11 (EAGAIN) डेटा = tuple = NULL 
 257884 15: 57: 35.407358705 0 क्रोम (2493) <recvfrom res = -11 (EAGAIN) डेटा = tuple = NULL 
 257888 15: 57: 35.407373908 0 क्रोम (2493) <recvfrom res = -11 (EAGAIN) डेटा = tuple = NULL 
 257922 15: 57: 35.407757377 1 Xorg (1153) <res = -11 (EAGAIN) डेटा = पढ़ें 

फिल्टर का उपयोग करने वाली घटनाओं और मापदंडों की एक पूरी सूची को कमांड का उपयोग करके देखा जा सकता है

 # sysdig -L

पिन स्वरूपण

सभी जानकारी जो sysdig कंसोल पर प्रदर्शित होती है, हम उस प्रारूप में भी प्रस्तुत कर सकते हैं जिसकी हमें आवश्यकता है। आउटपुट को प्रारूपित करने के लिए, आपको -p विकल्प का उपयोग करने की आवश्यकता होती है, जिसके बाद आवश्यक आउटपुट फ़ील्ड इंगित किए जाते हैं:

 # sysdig -p "उपयोगकर्ता:% user.name dir:% evt.arg.path" evt.type = chdir

 उपयोगकर्ता: ubuntu dir: / root
 उपयोगकर्ता: ubuntu dir: / root / tmp
 उपयोगकर्ता: ubuntu dir: / root / डाउनलोड करें

उपरोक्त कमांड chdir सिस्टम कॉल्स के बारे में जानकारी एकत्र करता है (वे हर बार सीडी कमांड निष्पादित होने पर बनाई जाती हैं) और कंसोल को उन उपयोगकर्ताओं के नाम के लिए प्रिंट करता है जो सीडी कमांड को निष्पादित करते हैं और निर्देशिका के नाम जिनके लिए वे जाते हैं।



निम्नलिखित सिंटैक्स का उपयोग -p विकल्प के साथ किया जाता है:

• क्षेत्र के नाम प्रतिशत चिह्न (%) से पहले हैं;
• किसी भी पाठ को लाइनों में जोड़ा जा सकता है (जैसा कि सी में प्रिंटफ फ़ंक्शन में);
• डिफ़ॉल्ट रूप से, लाइन कंसोल पर केवल तभी प्रदर्शित होती है, जब -p विकल्प के बाद निर्दिष्ट सभी तत्व घटना में मौजूद हों। यदि एक तार की शुरुआत में एक तारांकन चिह्न (*) का संकेत दिया जाता है, तो आउटपुट को अपूर्ण रूप में प्रस्तुत किया जाएगा; अनुपस्थित फ़ील्ड्स को N / A के रूप में इंगित किया जाएगा

कमांड दर्ज करें:

 # sysdig -p "% evt.type% evt.dir% evt.arg.name" evt.type / open

यह केवल खुली आउटगोइंग घटनाओं के बारे में जानकारी प्रदर्शित करेगा, उदाहरण के लिए।

 open </ proc / 23533 / कार्य / 23533 / स्टेट
 open </ proc / 23533 / कार्य / 23535 / स्टेट
 open </ proc / 23533 / कार्य / 23536 / स्टेट
 open </ proc / 23533 / कार्य / 23539 / स्टेट
 open </ proc / 23533 / कार्य / 23540 / स्टेट
 open </ proc / 23533 / कार्य / 23541 / स्टेट
 open </ proc / 23533 / कार्य / 23542 / स्टेट
 open </ proc / 23533 / कार्य / 23543 / स्टेट
 open </ proc / 23533 / कार्य / 23544 / स्टेट

आने वाली घटनाओं में एक नाम नहीं है, इसलिए उनके बारे में जानकारी आउटपुट में प्रदर्शित नहीं होती है।



यदि हम कमांड दर्ज करते हैं

 # sysdig -p "*% evt.type% evt.dir% evt.arg.name" evt.tir = open

तब आउटगोइंग ईवेंट के बारे में जानकारी आउटपुट में शामिल की जाएगी:

 open </ proc / 22832 / task / 22838 / stat
 खुला> 
 open </ proc / 22832 / task / 22839 / stat
 खुला> 
 open </ proc / 22832 / कार्य / 22840 / स्टेट
 खुला> 
 open </ proc / 22832 / task / 22841 / stat
 खुला> 
 open </ proc / 22832 / task / 22842 / stat
 खुला> 
 open </ proc / 22832 / task / 22843 / stat
 खुला> 
 खुला </ dev / urandom

छेनी

Sysdigs घटनाओं की सूची का विश्लेषण करने के लिए Lua में लिखी गई छोटी लिपियों का उपयोग करता है। डेवलपर्स उन्हें छेनी कहते हैं (रूसी अनुवाद में, छेनी शब्द का अर्थ "छेनी", "छेनी") है। इस पद के लिए एक पर्याप्त रूसी समकक्ष शायद ही मिल सकता है, इसलिए हमने इसे अनुवाद के बिना छोड़ने और इन लिपियों को कॉल करने का फैसला किया।

आप कमांड का उपयोग करके कंसोल पर उपलब्ध छेनी को सूचीबद्ध कर सकते हैं:

 # sysdig -cl

आप किसी विशेष छेनी के विवरण और -i विकल्प का उपयोग करके इसके साथ उपयोग किए गए तर्कों की सूची देख सकते हैं:

 # sysdig -i fileslower

 श्रेणी: प्रदर्शन
 ---------------------
 fileslower ट्रेस धीमी फ़ाइल I / O
 एक विशिष्ट छेनी के बारे में विस्तृत जानकारी प्राप्त करने के लिए -i ध्वज का उपयोग करें
 ट्रेस फ़ाइल I / O थ्रेशोल्ड से धीमी है, या सभी फ़ाइल I / O

 आर्ग:
 [int] min_ms - फ़ाइल I / O दिखाने के लिए न्यूनतम मिलीसेकंड सीमा

-C विकल्प का उपयोग करके छेनी लॉन्च की जाती है। आइए टॉपफाइल्स_बाइट्स छेनी को चलाने की कोशिश करें (यह स्थानीय मशीन पर फ़ाइलों की एक सूची प्रदर्शित करता है जो सबसे अधिक एक्सेस की जाती हैं):

 # sysdig -c topfiles_bytes

 बाइट्स फाइलन  
 ------------------------------
 3.21KB / देव / इनपुट / इवेंट 4
 2.93KB / tmp / vte7IZWFX (हटाए गए)
 864B / देव / उरजनी
 800B / tmp / vteL7ZWFX (हटाए गए)
 498B / देव / ptmx
 २२४ बी / देव / टपक / कार्ड ०
 219B / proc / 16213 / कार्य / 16221 / स्टेट
 217B / proc / 16213 / कार्य / 16229 / स्टेट
 217B / proc / 16213 / कार्य / 16219 / स्टेट
 215B / proc / 16213 / कार्य / 16225 / sta

छेनी के साथ काम करते समय, फिल्टर का उपयोग भी किया जाता है। यदि, उदाहरण के लिए, हमें / dev निर्देशिका में फ़ाइलों तक पहुँचने की आवृत्ति के बारे में जानकारी में कोई दिलचस्पी नहीं है, तो हम उपयुक्त फ़िल्टर लागू कर सकते हैं:

 # sysdig -c topfiles_bytes "fd.name नहीं है / देव"
 बाइट्स फाइलन  
 ------------------------------
 1.90KB / tmp / vte7IZWFX (हटाए गए)
 438B / proc / 16139 / कार्य / 16145 / स्टेट
 438B / proc / 16139 / कार्य / 16141 / स्टेट
 434B / proc / 16139 / कार्य / 16150 / स्टेट
 430B / proc / 16139 / कार्य / 16146 / स्टेट
 430B / proc / 16139 / कार्य / 16147 / स्टेट
 430B / proc / 16139 / कार्य / 16149 / स्टेट
 430B / proc / 16139 / कार्य / 16148 / स्टेट
 428B / proc / 16139 / कार्य / 16139 / स्टेट
 420B / proc / 16139 / कार्य / 16142 / स्टेट

फ़िल्टर का उपयोग करके, आप किसी विशिष्ट निर्देशिका में फ़ाइलों तक पहुँचने के बारे में जानकारी भी देख सकते हैं:

 # sysdig -c topfiles_bytes "fd.name में / var / log /" शामिल हैं 

 बाइट्स फाइलन
 ------------------------------
 596B /var/log/kern.log
 596B / var / लॉग / syslog
 596B / var / लॉग / संदेश

एक अन्य फ़िल्टर आपको यह देखने की अनुमति देता है कि कौन सी फ़ाइल निर्दिष्ट प्रक्रिया तक पहुँच रही है:

 # sysdig -c topfiles_bytes "proc.name = vi" 

आप यह भी देख सकते हैं कि उपयोगकर्ता किन फ़ाइलों को एक्सेस कर रहा है:

 $ sysdig -c topfiles_bytes "user.name = उपयोगकर्ता नाम" 

 बाइट्स फाइलन  
 ------------------------------
 1.90KB / tmp / vte7IZWFX (हटाए गए)
 ५ 5६ बी / देव / यूरेनियम
 384B / tmp / vteL7ZWFX (हटाए गए)
 355B / देव / ptmx

आप एक ही समय में कई छेनी चला सकते हैं:

 # sysdig -c stdin -c stdout proc.name = cat

जैसा कि पहले ही उल्लेख किया गया है, सभी छेनी लुआ में लिखे गए हैं, इसलिए आप उन्हें आसानी से संपादित कर सकते हैं या नए भी लिख सकते हैं।

स्क्रिप्टिंग गाइड यहाँ उपलब्ध है ।

उपयोग के उदाहरण

विशिष्ट निदान प्रक्रियाओं के उदाहरणों पर विचार करें जो sysdig का उपयोग करके किया जा सकता है।

नेटवर्क

Apache द्वारा सेवा नहीं किए गए सभी कनेक्शनों की सूची देखें:

 # sysdig -p "% proc.name% fd.name" "evt.type = accept और proc.name! # #dd":

देखें कि 192.168.0.1 पर सर्वर किस डेटा का आदान-प्रदान कर रहा है:

बाइनरी में:

 # sysdig -s2000 -X -c echo_fds fd.cip = 192.168.0.1

ASCII एन्कोडिंग में:

 # sysdig -s2000 -A -c echo_fds fd.cip = 192.168.0.1

उन प्रक्रियाओं के बारे में जानकारी देखें जो सबसे अधिक यातायात का उपभोग करती हैं:

 # sysdig -c topprocs_net
 बाइट्स प्रक्रिया   
 ------------------------------
 885B अवही डेमॉन
 6.44KB क्रोम

सर्वर पोर्ट उपयोग आँकड़े देखें:

स्थापित कनेक्शन की संख्या:

 # sysdig -c fdcount_by fd.sport "evt.type = accept";

भेजी गई सूचना की मात्रा, बाइट्स:

 # sysdig -c fdbytes_by fd.sport

क्लाइंट IP जानकारी देखें:



स्थापित कनेक्शन की संख्या:

 # sysdig -c fdcount_by fd.cip "evt.type = accept"

भेजी गई सूचना की मात्रा, बाइट्स:

 # sysdig -c fdbytes_by fd.cip

 बाइट्स fd.cip    
 ------------------------------
 375B 192.168.40.99
 250 बी 192.168.40.255
 226B 192.168.40.101
 133B 192.168.30.88
 125B 255.255.255.255

अपाचे के माध्यम से एक बाहरी MySQL सर्वर के अनुरोध के बारे में जानकारी देखें:

 # sysdig -A -c echo_fds fd.sip = 192.168.30.5 और proc.name = apache2 और evt.buffer में SELECT

डिस्क सबसिस्टम

डिस्क सबसिस्टम उपयोग पर आंकड़े देखें:

 # sysdig -c topprocs_file
 बाइट्स प्रक्रिया   
 ------------------------------
 12.61KB BrowserBlocking
 3.89KB Xorg
 3.79KB Chrome_IOThread
 3.09KB सूक्ति-टर्मिनल

बड़ी संख्या में फ़ाइलों का उपयोग करने वाली प्रक्रियाओं के बारे में जानकारी देखें:

 # sysdig -c fdcount_by proc.name "fd.type = file"

 ब्राउज़रब्लॉकिंग 365
 Chrome_IOThread 44
 विषमता १२
 ऊपरवाला d
 ड्रॉपबॉक्स 5
 Xorg 3
 अलसा-सींक २
 rs: मुख्य २
 compiz १
 rsyslogd १
 सूक्ति- टर्मिनल १

प्रक्रियाओं द्वारा ट्रैक रीड / राइट ऑपरेशन:

 # sysdig -c topfiles_bytes

 बाइट्स फाइलन  
 ------------------------------
 5.41KB / देव / इनपुट / इवेंट 4
 1.90KB / tmp / vteHGSYFX (हटाए गए)
 ५ 5६ बी / देव / यूरेनियम
 554 बी / देव / पीटीएमएक्स
 384B / tmp / vteHESYFX (हटाए गए)
 219B / proc / 16139 / कार्य / 16145 / स्टेट
 219B / proc / 15857 / कार्य / 15865 / स्टेट
 219B / proc / 16139 / कार्य / 16141 / sta

उन फ़ाइलों की सूची देखें जिनके साथ अपाचे सबसे अधिक पढ़ने / लिखने का कार्य करता है:

 # sysdig -c topfiles_bytes proc.name = httpd

वास्तविक समय में फ़ाइल खोलने का ट्रैक:

 # sysdig -p "% 12user.name% 6proc.pid% 12proc.name% 3fd.num% fd.typechar% fd.name" evt.type = open

 रूट 1143 असमानता 3 एफ / प्रोक / इंटरप्ट
 रूट 1143 irqbalance 3 f / proc / स्टेट
 रूट 1143 irqbalance 3 f / proc / irq / 42 / smp_affinity
 रूट 1143 irqbalance 3 f / proc / irq / 41 / smp_affinity
 रूट 1143 irqbalance 3 f / proc / irq / 16 / smp_affinity
 रूट 1143 irqbalance 3 f / proc / irq / 43 / smp_affinity
 रूट 1143 irqbalance 3 f / proc / irq / 17 / smp_affinity
 रूट 1143 irqbalance 3 f / proc / irq / 23 / smp_affinity
 रूट 1143 irqbalance 3 f / proc / irq / 40 / smp_affinity
 रूट 1143 irqbalance 3 f / proc / irq / 10 / smp_affinity
 रूट 1143 irqbalance 3 f / proc / irq / 18 / smp_affinity

CPU उपयोग

प्रोसेसर उपयोग के आँकड़े देखें:

 # sysdig -c topprocs_cpu

 CPU% प्रक्रिया
 ------------------------------
 0.31% sysdig
 0.09% sshd
 0.03% mysqld
 0.01% नगीनक्स
 0.01% php5-fpm

CPU0 उपयोग के आँकड़े देखें:

 # sysdig -c topprocs_cpu evt.cpu = 0

प्रक्रिया के लिए मानक आउटपुट देखें:

 # sysdig -s4096 -A -c stdout proc.name = बिल्ली

प्रदर्शन और कीड़े

Httpd फ़ाइल त्रुटियाँ खोलने के बारे में जानकारी देखें:

 # sysdig "proc.name = httpd और evt.type = open and evt.failed = true"

उन फ़ाइलों के बारे में आंकड़े देखें जिनमें सबसे अधिक समय लगता है:

 # sysdig -c topfiles_time 

 समय का नाम  
 ------------------------------
 403us / dev / urandom
 267us / देव / इनपुट / इवेंट 4
 ४us / देव / टपक / कार्ड ०
 63us / tmp / vte7IZWFX (हटाए गए)
 34us / tmp / vteL7ZWFX (हटाए गए)
 20us / proc / 3467 / कार्य / 3467 / स्टेट
 13us / देव / ptmx
 11us / proc / 16010 / कार्य / 16010 / सेंट

उन प्रक्रियाओं के बारे में जानकारी देखें जो अपाचे पर सबसे अधिक समय बिताती हैं:

 # sysdig -c topfiles_time proc.name = httpd

उन प्रक्रियाओं के बारे में जानकारी देखें जिनके दौरान I / O त्रुटियां होती हैं:

 # sysdig -c topprocs_errors

 ------------------------------
 2363 अधिसूचित-ओएसडी
 1327 Xorg
 688 संकलन
 349 क्रोम
 82 पल्सेडियो
 76 gtk-window-deco
 62 सूक्ति-टर्मिनल
 50 अलसा-सिंक
 30 Chrome_ChildIOT
 20 सूक्ति-स्क्रीनव
 20 नॉटिलस
 14 Chrome_IOThread
 10 सिंडिकेट
 10 सूक्ति-सेटिंग्स-
 7 सॉफिस.बीन
 6 एनएम-एप्लेट
 6 डबस-डेमन
 4 ऑडियोथ्रेड
 3 पिजिन
 2 नेटवर्क प्रबंधक
 2 मिशन-नियंत्रण
 1 gdbus

उन फ़ाइलों के बारे में जानकारी देखें जिनके साथ I / O त्रुटियां होती हैं:

 # sysdig -c topfiles_errors

 #Errors फ़ाइल नाम  
 ------------------------------
 43 / देव / इनपुट / इवेंट 4
 2 / देव / ptmx

त्रुटियों को वापस करने वाले सिस्टम कॉल के बारे में जानकारी देखें:

 # sysdig -c topscalls "evt.failed = true"

 # कॉल सिस्टम कॉल                                                                                                        
 ------------------------------
 384 पुनरावृत्ति
 273 फूटेक्स
 169 पढ़े
 133 प्रोटो
 41 का चयन करें
 3 पुनरावृत्ति

फ़ाइलें दिखाई देने पर त्रुटियों को ट्रैक करें:

 # sysdig -p & "user.name% 6proc.pid% 12proc.name% 3fd.num% fd.typechar% fd.name" evt.type = open and evt.failed - true

 रूट 1607 upowerd -1 f / sys / devices / LNXSYSTM: 00 / LNXSYBUS: 00 / PNP0A08: 00 / डिवाइस: 0e / PNP0C09: 00 / PNP0C0A: 00 / power_supply / BAT0 / energy_now_now
 रूट 1607 upowerd -1 f / sys / devices / LNXSYSTM: 00 / LNXSYBUS: 00 / PNP0A08: 00 / डिवाइस: 0e / PNP0C09: 00 / PNP0C0A: 00 / power_supply / BAT0 / energy_avg
 रूट 1607 upowerd -1 f / sys / devices / LNXSYSTM: 00 / LNXSYBUS: 00 / PNP0A08: 00 / डिवाइस: 0e / PNP0C09: 00 / PNP0C0A: 00 / power_supply / BAT0 / voltage_max_design_design
 रूट 1607 upowerd -1 f / sys / devices / LNXSYSTM: 00 / LNXSYBUS: 00 / PNP0A08: 00 / डिवाइस: 0e / PNP0C09: 00 / PNP0C0A: 00 / power_supply / BAT0 / power_now_now

1 से अधिक एमएस की देरी के साथ होने वाले I / O संचालन को सूचीबद्ध करें:

 # sysdig -c fileslower 1

 समय प्रक्रिया प्रकार लेस (एमएस) फ़ाइल
 2014-05-13 12:46: 57.190 rsyslogd 3524 / proc / kmsg पढ़ा
 2014-05-13 12:46: 57.197 rsyslogd 7 / proc / kmsg पढ़ा
 2014-05-13 12:46: 57.205 rsyslogd 7 / proc / kmsg पढ़ा
 2014-05-13 12:46: 57.209 rsyslogd 4 / proc / kmsg पढ़ा
 2014-05-13 12:46: 57.221 rsyslogd 11 / proc / kmsg पढ़ा
 2014-05-13 12:46: 57.225 rsyslogd 3 / proc / kmsg पढ़ा
 2014-05-13 12:46: 57.233 rsyslogd 7 / proc / kmsg पढ़ा
 2014-05-13 12:46: 57.241 rsyslogd 7 / proc / kmsg पढ़ा
 2014-05-13 12: 46: 58.362 upowerd 220 / sys / डिवाइसेस / LNXSYSTM: 00 / LN पढ़ें

सुरक्षा

रूट उपयोगकर्ता द्वारा देखी गई निर्देशिकाओं के बारे में जानकारी देखें:

 # sysdig -p "% evt.arg.path" "evt.type = chdir और user.name = root"

ट्रैक ssh गतिविधि:

 # sysdig -A -c echo_fds fd.name = / dev / ptmx और proc.name = sshd

/ Etc निर्देशिका से फ़ाइल खोलते समय सभी घटनाओं को प्रदर्शित करें:

 # sysdig evt.type = open और fd.name में / etc शामिल हैं
 97367 12: 50: 02.164137993 0 एकता-पैनल-सेर (2193) <खुले fd = 13 (/ etc / timezone) नाम = / etc / timezone ध्वज = 1 (O_RDONLY) मोड = 0 
 97385 12: 50: 02.164419642 0 एकता-पैनल-सेर (2193) <खुले fd = 13 (/ etc / localtime) नाम = / etc / स्थानीय समय झंडे = 1 (O_RDONLY) मोड = 0 
97405 12:50:02.164642935 0 unity-panel-ser (2193) < open fd=13(/etc/localtime) name=/etc/localtime flags=1(O_RDONLY) mode=0 

निष्कर्ष

Sysdig — . . Sysdig , DTrace Systemtap, , . , , .



sysdig, , , . , Linux-.



, , .