开头语
写在前面:如有问题,以你为准,
目前24年应届生,各位大佬轻喷,部分资料与图片来自网络
内容较长,页面右上角目录方便跳转
Sysdig:一个非常强大的系统监控、分析和故障排查工具。
汇聚 strace+tcpdump+htop+iftop+lsof 工具功能于一身!
sysdig 除了能获取系统资源利用率、进程、网络连接、系统调用等信息,
还具备了很强的分析能力,例如:
- 按照CPU使用率对进程排序
- 按照数据包对进程排序
- 打开最多的文件描述符进程
- 查看进程打开了哪些文件
- 查看进程的HTTP请求报文
查看机器上容器列表及资源使用情况
项目地址:https:/github.com/draios/sysdig
文档:https:/github.com/draios/sysdig/wiki
使用内核模块实现
以容器方式启动
一键式安装
二进制安装 (成功)
命令介绍
输出格式
指定格式输出
示例
使用的工具箱,一组预定义的功能集合,用于分析特定的场景
sysdig -cl 列出所有Chisels,以下是一些常用的:
- topprocs_cpu: 输出按照CPU使用率排序的进程列表,例如sysdig-c
- topprocs_net: 输出进程使用网络TOP
- topprocs file: 进程读写磁盘文件TOP
- topfiles bytes: 读写磁盘文件TOP
- netstat: 列出网络的连接情况
Falco 是一个Linux安全工具,它使用系统调用来保护和监控系统。
Falco 最初是由Sysdig开发的,后来加入CNCF孵化器,成为首个加入CNCF的运行时安全项目。
Falco 提供了一组默认规侧,可以监控内核态的异常行为,例如:
- 对于系统目录/etc,/usr/bin,/usr/sbin的读写行为
- 文件所有权、访问权限的变更
- 从容器打开shell会话
- 容器生成新进程
- 特权容器启动
项目地址
https://github.com/falcosecurity/falco
也是使用内核模块实现
falco 配置文件目录 :/etc/falco
falco.yaml falco 配置与输出告警通知方式
falco rules.yaml 规侧文件,默认已经定义很多威胁场景(已经内置一些规则)
falco_rules.local.yaml 自定义扩展规则文件(专门给用户自定义的)
k8 s audit rules..yaml Ka8s审计日志规则
字段解析 falco_rules.local.yaml
编写示例
nginx容器里面执行不属于nginx的进程,就进行警告输出到 /var/log/messages
更改输出位置
falco.yaml
以json格式输出
指定输出文件
默认是 /var/log/messages
命令
查看监控信息
会出现 /var/log/messages
修改了输出方式才能将数据接入ui
特权容器启动
在bin下创建文件