Cómo instalar Sysdig en Debian 11

Instalación de Syndig en Debian 11

Sysdig es una herramienta de soluci√≥n de problemas y supervisi√≥n de sistemas multiplataforma de c√≥digo abierto. Es √ļtil para los administradores de sistemas experimentados, as√≠ como para aquellos que est√°n probando por primera vez la l√≠nea de comandos de Linux. Puede brindarnos una gran cantidad de informaci√≥n sobre lo que realmente sucede en nuestros servidores, contenedores o escritorios durante las operaciones normales.

Sysdig viene con una interfaz de línea de comandos, pero también tiene una interfaz de usuario web para aquellos que están más inclinados a la GUI.

Sysdig recopila datos del sistema y le permite al usuario filtrar y monitorear estos datos de muchas maneras. Puede capturar tr√°fico hacia/desde un contenedor o m√°quina virtual, usar filtros para que el sistema solo le muestre eventos relevantes, como ¬ęsi el proceso X est√° escuchando en el puerto Y¬Ľ, y puede agregar eventos en representaciones gr√°ficas de tendencias a largo plazo. .

La mayor fortaleza de Sysdig es su profundidad de conocimiento. Sysdig puede decirle dónde están ocurriendo todas las lecturas de su disco, cuántos paquetes está enviando/recibiendo cada contenedor, o si alguno de sus servidores web está caído. Incluso hace un esfuerzo adicional y respalda esta información con datos binarios relevantes (si están registrados).

La mayor parte de nuestro tiempo como administradores de sistemas lo dedicamos a solucionar problemas que son difíciles de reproducir o identificar. La razón por la que estos problemas son tan difíciles de depurar es que no hay suficiente información para continuar.

Sysdig puede darnos suficiente información para resolver estos problemas. Una vez que tenemos esta información, nuestra solución de problemas se vuelve mucho más fácil: a menudo se siente como si tuviera un superpoder.

Sysdig funciona en la mayoría de las principales distribuciones, incluidas CentOS, Ubuntu, Debian, Fedora Core, Arch Linux, Gentoo e incluso OSX. La instalación es bastante simple; no requiere compilar el código fuente (¡sí!), e incluso hay una página oficial de GitHub que tiene instrucciones de instalación para cada distribución compatible oficialmente con Sysdig.

Para este artículo, instalaremos Sysdig en un servidor Debian 11. El proceso es bastante simple y no requiere mucho conocimiento profundo sobre Linux para comenzar.

requisitos previos

Para instalar sysdig, necesitamos tener:

  • Una conexi√≥n ssh a nuestro servidor remoto.
  • Acceso root o sudo.

Actualización del sistema

Es una buena idea actualizar el sistema antes de continuar. Esto lo podemos hacer ejecutando:

sudo apt-get update && sudo apt-get upgrade -y

Una vez que se hayan realizado las actualizaciones, ejecute los siguientes comandos para instalar las dependencias requeridas. libc6 es la biblioteca est√°ndar de C utilizada por Sysdig para hacer la mayor parte del trabajo pesado. curl es una herramienta que recupera archivos usando el protocolo HTTP o HTTPS, y es lo que usaremos para descargar sysdig. libcurl3 es una dependencia para curl.

sudo apt install libc6 libcurl3 gnupg -y
sudo apt install software-properties-common curl -y

Instalación de Syndig en Debian 11

Ahora que el sistema est√° actualizado, descarguemos e instalemos Sysdig. Ejecute el siguiente comando para descargar e instalar sysdig.

sudo curl -s https://s3.amazonaws.com/download.draios.com/stable/install-sysdig | sudo bash

Dependiendo de las especificaciones de su servidor, esto puede tomar un tiempo. Por lo tanto, tenga paciencia mientras finaliza la descarga e instalación.

Salida de muestra:

Instalación de Syndig en Debian 11

Una vez que se completa la instalación, podemos verificar si Sysdig está instalado correctamente ejecutando el siguiente comando.

sysdig --version

Si la instalación fue exitosa, este comando devolverá los detalles de la versión de sysdig como se muestra a continuación.

Instalación de Syndig en Debian 11

También puede consultar las diversas capacidades de sysdig ejecutando el siguiente comando.

sysdig -h

Instalación de Syndig en Debian 11

Uso de Sysdig

Ahora que tenemos Sysdig instalado, repasemos algunos de los comandos b√°sicos en Sysdig.

Lo primero que debemos hacer es ejecutar el siguiente comando para comenzar a capturar la actividad del sistema. Usamos el comando sysdig para monitorear el sistema. Ejecutamos el comando sysdig con el prefijo sudo, que es necesario porque csysdig requiere acceso de root o sudo para funcionar.

sudo csysdig

Salida de muestra:

Uso de Sysdig

A medida que sysdig comience a capturar eventos, sysdig comenzará a llenar la interfaz con información. Después de ejecutar el comando anterior, los datos del sistema se actualizan cada dos segundos. Esto está controlado por la variable refresh_rate, que por defecto es de 2 segundos. Esto se puede ajustar usando el archivo de configuración de sysdig.

En el resultado anterior, ver√° columnas como PID, Nombre, CPU y Comm. Estas son descripciones de columnas y se pueden ver al pasar el mouse sobre ellas. La sintaxis de los nombres de las columnas es [field name]- [field descriptor].

Los campos que m√°s nos preocupan generalmente incluyen:

  • PID – el PID del proceso que gener√≥ el evento.
  • PPID: el PID del proceso principal para un proceso determinado.
  • %CPU: cu√°nto tiempo de CPU est√° utilizando un proceso.
  • USUARIO – el nombre de usuario del usuario responsable del proceso.
  • RES: la cantidad de memoria no intercambiada que utiliza un proceso.
  • Comando: la l√≠nea de comando que inici√≥ el proceso.

Por supuesto, hay muchas otras columnas que puede usar para profundizar en la actividad del sistema. Y Sysdig se puede personalizar para satisfacer sus necesidades.

Como los datos del sistema se actualizan continuamente, puede ser difícil entender qué está pasando. Podemos detener la ejecución de sysdig presionando CTRL + C. Una vez que se borra la interfaz, podemos ejecutar un comando sysdig con opciones y filtros para obtener los datos que queremos.

La systax es sysdig [options] [filters].

El mecanismo de filtrado de Sysdig es muy poderoso y puede usarse para encontrar exactamente lo que est√° buscando. Los filtros, similares a tcpdump, consisten en una cadena de una o m√°s expresiones primitivas que est√°n unidas por conjunciones (‘y’, ‘o’) y opcionalmente terminadas por una disyunci√≥n (‘no’). Para mostrar todos los filtros que podemos usar con sysdig, ejecute el siguiente comando.

sysdig -l

Obtendrá una lista con una gran cantidad de filtros con una breve descripción de cada uno, como se muestra a continuación.

Uso de Sysdig

Dado que es imposible cubrirlos todos, cubriremos algunos filtros de uso com√ļn.

Comenzaremos con el filtro Рproc.name= que nos permite filtrar por nombres de procesos específicos.

Por ejemplo, para buscar todos los eventos para el nombre de proceso ¬ęnano¬Ľ, podemos ejecutar el siguiente comando.

sudo sysdig proc.name=nano

Salida de muestra:

Uso de Sysdig

Tambi√©n puede usar operadores como ¬ęo¬Ľ y ¬ęy¬Ľ para obtener datos m√°s espec√≠ficos. Por ejemplo, puede obtener todos los eventos para ¬ęnano¬Ľ o ¬ęvi¬Ľ.

sudo sysdig proc.name=cat or proc.name=vi

Uso de Sysdig

Ejecute el siguiente comando para ver los eventos relacionados con la red. Puede ver a qué puertos están conectados, direcciones MAC y mucho más en tiempo real.

sudo sysdig -c netstat

Salida de muestra:

Uso de Sysdig

Ejecute el siguiente comando para obtener los principales procesos que consumen CPU.

sudo sysdig -c topprocs_cpu

Salida de muestra:

Uso de Sysdig

Para capturar la actividad del sistema y guardarla para un an√°lisis posterior, use la opci√≥n -w, seguida de un nombre de archivo. En el siguiente ejemplo, capturamos toda la salida de sysdig en un archivo llamado ¬ęsysdig-output.scap¬Ľ

sudo sysdig -w sysdig-output.scap

Este comando le dice a sysdig que emita los datos continuamente hasta que se detenga presionando CTRL+C. Con el tiempo, el archivo crecer√° en tama√Īo. Puedes usar el -C opci√≥n para capturar la actividad del sistema en un archivo con un tama√Īo m√°ximo de un n√ļmero espec√≠fico de MB.

Por ejemplo, el siguiente comando creará un nuevo archivo cada 1 MB y almacenará la actividad del sistema en él.

sudo sysdig -C 1 -w sysdig-output.scap

Ejecute el comando ls -l para ver el archivo reci√©n creado con el nombre ¬ęsysdig-output.scap¬Ľ como se muestra a continuaci√≥n.

ls -l

La salida es la siguiente:

Uso de Sysdig

Conclusión

Sysdig tiene una gran cantidad de funcionalidades y se puede utilizar como una gran herramienta para la resolución de problemas y el análisis del rendimiento. Y dado que es de código abierto, también puede ampliar su funcionalidad a través de cinceles para satisfacer sus necesidades.

En este artículo, hemos cubierto algunos de los comandos básicos para comenzar con sysdig. Para obtener más información sobre sysdig y sus casos de uso, consulte su documentación página.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *