نظام Linux الخاص بك هو منصة ممتازة للخوادم وأجهزة سطح المكتب. ولكن مثل أي نظام معقد آخر، فإن وجود رصد مناسب مهم للغاية للحفاظ على نظامك في أوج أدائه. لحسن الحظ، Sysdig على بُعد خطوة واحدة فقط!
Sysdig هو أداة رصد Linux شاملة يمكن أن تراقب نظامك للتهديدات والأخطاء وأنماط الاستخدام والعديد من المزيد. وفي هذا البرنامج التعليمي، ستتعلم كيفية تثبيت Sysdig مع التركيز على خيارات التكوين الخاصة بشكل خاص على كيفية رصد نظام Linux الخاص بك بشكل أفضل.
استمر في القراءة ولا تفوت “التنبيه” مرة أخرى!
المتطلبات المسبقة
سيكون هذا البرنامج التعليمي عرضًا عمليًا. إذا كنت ترغب في المتابعة، تأكد من أنك تمتلك ما يلي.
- A Linux machine – This tutorial uses Ubuntu 20.04 LTS, but any Linux distributions will work.
- A non-root user with sudo privileges.
تثبيت Sysdig على Linux
أداة سطر الأوامر Sysdig عادةً ما تكون متاحة في معظم توزيعات Linux الحديثة، ويمكنك تثبيت Sysdig مثل الحزم الأخرى التي قمت بتثبيتها حتى الآن على جهازك.
1. افتح الطرفية الخاصة بك، وقم بتشغيل الأمر apt update أدناه للتأكد من أن لديك أحدث التحديثات من مستودعات توزيعتك. يحدث هذا الأمر قوائم حزم النظام الخاص بك وقد يستغرق بضع دقائق للاكتمال.
2. بعد ذلك، قم بتشغيل الأمر apt install أدناه لتنزيل (curl) وتثبيت الحزم اللازمة لـ Sysdig. يقوم هذا الأمر أيضًا بتثبيت بعض الوحدات الإضافية المستخدمة في وقت لاحق في هذا البرنامج التعليمي على النحو التالي:
gnupg– GNU Privacy Guard هو أداة للتواصل الآمن وتخزين البيانات. هذه الحزمة تمكن من تنزيل مفتاح GPG العام لـ Sysdig للتحقق من صحة حزم Sysdig.
software-properties-common– يوفر طريقة سريعة لإدارة مصادر البرمجيات الخاصة بك عبر بيئة سطر الأوامر أو واجهة المستخدم الرسومية. يتيح لك هذا الحزمة استخدام الأمرadd-apt-repositoryلإضافة مستودعات حزم Sysdig.
linux-headers-$(uname -r)– يوفر الملفات الضرورية لبناء وحدات النواة الخاصة بكernel التشغيلي الخاص بك. هذه الحزمة مطلوبة لأنه قد تقوم بتثبيت Sysdig على جهاز يحتوي على نواة قياسية قديمة.
3. قم بتشغيل الأمر curl أدناه لإضافة مفتاح GPG العام لـ Sysdig (GPG) إلى سلسلة مفاتيح APT الخاصة بك. يتيح لك هذا الأمر التحقق من أن الحزم التي تم تنزيلها من sysdig.com صالحة وغير معدلة.
ستحصل على رسالة تأكيد بعد إضافة المفتاح بنجاح، كما هو موضح أدناه.
4. الآن، قم بتشغيل الأمر curl أدناه لتحميل مستودعات Sysdig بصمت (-s) وإضافتها إلى نظامك كملف draios.list. يوضح التمديد .list لـ APT الخاص بك أن الملف هو قائمة بعناوين URL للمستودعات، بدلاً من عنوان URL واحد فقط.
5. قم بإعادة تشغيل أمر apt update أدناه لتنزيل مستودعات Sysdig الجديدة وتحديث قوائم الحزم الخاصة بـ APT بمعلومات المستودعات الجديدة.
سترى الناتج التالي إذا تم تكوين APT بشكل صحيح.
6. بعد تنزيل مستودعات Sysdig، قم بتشغيل أمر apt install أدناه لـ تثبيت sysdig على جهازك. يقوم هذا الأمر بتنزيل وتثبيت حزمة sysdig وحزمها الداعمة.
7. في الختام، قم بتشغيل أمر sysdig أدناه لفحص إصدار Sysdig المثبت على جهازك.
يساعد رقم الإصدار في تحديد ما إذا كانت حزمة Sysdig الخاصة بك محدثة. يوفر الإصدار أيضًا رؤية حول ما إذا كان إصدار Sysdig يؤثر على أداء النظام أم لا.
كما هو موضح أدناه، الإصدار 0.28.0 هو أحدث إصدار لـ sysdig حتى كتابة هذا النص. قد يكون رقم الإصدار الخاص بك مختلفًا.
رصد أنظمة Linux باستخدام csysdig
الآن بعد تثبيت Sysdig، يمكنك استخدام Sysdig للاطلاع على ما يحدث في نظامك. يحتوي أداة سطر الأوامر Sysdig على العديد من العلامات التجارية التي تمنحك وجهات نظر مختلفة حول نظامك ونشاطه. أبسط مثال هو الأمر csysdig.
قم بتشغيل الأمر csysdig بدون أي علامات لمعرفة ما يحدث في نظامك الآن. سيعرض لك الأمر نشاط جميع العمليات التي تعمل حاليًا.
لاحظ أنه يجب تشغيل أوامر Sysdig بامتيازات
sudoللحصول على وصول كامل إلى نظامك. قد يتم إخفاء بعض الأنشطة في النظام افتراضيًا عن المستخدمين غير الجذر، مثل إخراج نظام الملفات /proc. كما يتطلب Sysdig امتيازاتsudoلتحميل تلقائيًا رموز النواة اللازمة للقيام بالعديد من الحيل الخاصة به، مثل وحدة النواة sysdig-probe
إذا واجهت الخطأ التالي، ستحتاج إلى إعادة تثبيت حزمة ncurses-term. تميل حزمة ncurses-term إلى التلف بعد تثبيت Sysdig الجديد. يعتمد Sysdig على حزمة ncurses-term لدعم واجهة المستخدم الرسومية ncurses.
إذا كان الأمر csysdig ناجحًا، ستحصل على الإخراج التالي مُنظّمًا في علامات تبويب.
| Description | |
| PID | The Process ID that assigned by the Linux kernel. You use PIDs to identify and manage processes. |
| PPID | The parent process ID of the process. You use PPID to trace the process back through its parent processes. Together, PID and PPID uniquely identify a process on your system. |
| CPU | The percentage of CPU used by the application since it started can be seen on a scale from 0 to 100%, where 100% equals total CPU usage. You use CPU usage to find applications that are hogging system resources. |
| USER | The name of the user that started the process. You use USER to find out who is executing a process you are interested in. |
| TH | The name of the user that started the process. You use USER to find out who is executing a process you are interested in. |
| VIRT | The total amount of virtual memory used by the application. You use VIRT to find applications that are hogging your system’s memory. |
| RES | The number of resident memory pages a process has, as mapped to physical memory. You use RES to find applications that are hogging your system’s memory. |
| FILE | The disk’s file descriptor used by the application. You use FILE to see which files are being read or written frequently, usually an indication of I/O activity. |
| NET | The network socket descriptor used by the application. You use NET to see which network connections are being used by the process, and how much data is being transferred in bytes per second. |
| Command | The network socket descriptor used by the application. You use NET to see which network connections are being used by the process, and how much data is being transferred in bytes per second. |
في النظرة الأولى، يبدو واجهة csysdig مشابهة لأدوات المراقبة مثل htop.
اضغط على F2 وستتغير الألسنة العلوية لعرض مجموعة جديدة من المعلومات المنظمة في ألسنة على اليسار، كما هو موضح أدناه.
تسمي Sysdig هذه “المشاهد” لأنها مشاهد نظام مختلفة، منظمة حسب نوع المعلومات التي تعرضها، مما يوفر سياقًا أكثر. ونظرًا لأن هذه المشاهد مبنية على سكريبت LUA، يمكنك تخصيص السكربتات لاستخراج بيانات مختلفة من النظام وتغيير العرض حسب تفضيلاتك.
بشكل افتراضي، توجد السكربتات LUA في الدليل /usr/share/sysdig/chisels، كما هو موضح أدناه.
مراقبة العمليات التي تستهلك الكثير من وحدة المعالجة المركزية باستخدام أدوات Sysdig Chisels
تقدم Sysdig العديد من الأدوات الجاهزة للاستخدام التي تقوم بجمع معلومات نظام محددة تلقائيًا، تعرف باسم “الأدوات”. ربما تواجه أداءً بطيئًا على وحدة المعالجة المركزية الخاصة بك. إذا كان الأمر كذلك، يمكنك تشغيل الأمر sysdig مع أداة محددة لعرض التطبيقات/العمليات التي تستهلك معظم استخدام وحدة المعالجة المركزية الخاصة بك.
1. قم بتشغيل الأمر sysdig أدناه لعرض الأدوات المتاحة.
الصورة أدناه تظهر فقط بعض الأدوات الحديدية. ولكن يمكنك العثور على قائمة كاملة وتعلم جميع الأدوات الحديدية المتاحة في الوثائق الرسمية.
تعتبر أدوات Sysdig أيضًا نصوصًا LUA. يمكنك إنشاء أدوات حديدية خاصة بك لمراقبة معلومات النظام المحددة أو تنفيذ عرضك الخاص، ولكن هذا الموضوع خارج نطاق هذا البرنامج التعليمي.
2. بعد ذلك، قم بتشغيل الأمر أدناه لرؤية المعلومات المفصلة (-i) حول أداة حديدية محددة، مثل topprocs_cpu في هذا العرض التوضيحي.
يمكنك رؤية جميع المعلومات حول أداة حديدية topprocs_cpu أدناه، بما في ذلك اسم الأداة الحديدية والفئة ووصف موجز لما تقوم به الأداة الحديدية.
في هذا المثال، تصنف أداة حديدية topprocs_cpu كاستخدام وحدة المعالجة المركزية وتعرض أعلى عملية محددة بأعلى استخدام لوحدة المعالجة المركزية.
بمجرد فهم وظيفة الأداة الحديدية، يمكنك البدء في استخدام تلك الأداة الحديدية.
3. قم بتشغيل الأمر sysdig أدناه، محددًا الأداة الحديدية المناسبة (-c topprocs_cpu) للعثور على التطبيقات التي تستخدم أكبر كمية من وحدة المعالجة المركزية في نظامك.
يقوم Sysdig بالتقاط أعلى 10 عمليات تستهلك وحدة المعالجة المركزية في هذا العرض التوضيحي ويطبعها على الطرفية. ستعرض العملية الأكثر استهلاكًا لوحدة المعالجة المركزية في الأعلى (sshd)، مما يجعل العثور عليها أسرع.
مراقبة معلومات النظام المصفاة
في بعض الحالات، يكون الإخراج ضخمًا، مما يجعل من الصعب تصفية معلومات النظام استنادًا إلى نقطة تنقيح محددة. لحسن الحظ، تقدم Sysdig خيار تصفية قويًا يستخدم بنية لوا بحيث يمكنك إجراء عمليات تصفية فعالة.
لنفترض أنك تبحث فقط عن عمليات sshd التي تساهم في استخدام النظام المرتفع لوحدة المعالجة المركزية. يمكنك تعريف تعبير التصفية بواسطة مُعرف العملية أو اسم العملية المحدد.
قم بتشغيل الأمر sysdig أدناه لعرض فقط عملية sshd التي تستخدم الكثير من وحدة المعالجة المركزية.
كما هو موضح أدناه، ستحصل على إخراج مُصفَّى دون الحصول على أي معلومات عن عمليات أخرى.
من الإخراج، يمكنك الحصول على مزيد من المعلومات حول عملية sshd، مثل سبب استخدام عملية sshd لوحدة المعالجة المركزية أو الذاكرة بشكل أكبر، وهكذا.
إنشاء ملف سجل الأحداث لمراقبة نظامك
واحدة من الميزات الرائعة التي تقدمها Sysdig هي ملفات سجل الأحداث، التي تتيح لك جمع جميع المعلومات حول ما تقوم به تطبيقاتك أو النظام لتحليلها لاحقًا. توفر ملفات سجل الأحداث نفس المعلومات المتوفرة في مخرجات سطر الأوامر في الأمثلة السابقة، ولكنها تُحفظ في ملف على القرص.
1. قم بتشغيل الأمر أدناه لإنشاء ملف (-w) يُسمى ata.scap في دليل منزلك، حيث سيقوم سيستم بتخزين كل مخرجات sysdig فيه.
امتداد الملف .scap يسمح بحفظ تيارات البيانات بشكل نصي قابل للقراءة من قبل الإنسان.
2. بعد ذلك، قم بتشغيل الأمر ls -la أدناه لعرض جميع الملفات في دليل العمل.
سوف تلاحظ وجود ملف جديد يُسمى ata.scap في دليل منزلك، كما هو موضح أدناه.
3. في النهاية، قم بتشغيل الأمر أدناه لـ Sysdig لقراءة (-r) ملف سجل الحدث لـ Sysdig (ata.scap) وطباعة سلوك نظامك عندما تقوم بالاتصال عبر SSH إلى خادمك.
الاستنتاج
في هذه المقالة، تعلمت كيفية تثبيت Sysdig على Ubuntu 20.04 واستخدام csysdig لجمع معلومات نظامك، التطبيقات، والأمان. كما تطرقت إلى إنشاء ملف سجل حدث يسمح لك بتسجيل سلوك نظامك.
في هذه النقطة، لقد أدركت أن وجود Sysdig مثبتًا في نظامك يوفر لك أدوات قوية. وتساعدك هذه الأدوات على الحصول على مزيد من الرؤى حول كيفية عمل نظامك، والتطبيقات، والبنية التحتية.
الآن، مع هذه المعرفة الجديدة، لماذا لا تتعلم كيفية فك تشفير حركة مرور HTTP الخاصة بك باستخدام Sysdig؟ أو كيفية تتبع نقاط ضعف التطبيق باستخدام متتبعات Sysdig؟