TranslateProject/translated/tech/20141014 How to monitor and troubleshoot a Linux server using sysdig.md

7.6 KiB
Raw Blame History

Linux服务器监控和排障利器sysdig

当你需要追踪某个进程产生和接收的系统调用时首先浮现在你脑海中的是什么你可能会想到strace那么你是对的。你会使用什么样的命令行工具来监控原始网络通信呢如果你想到了tcpdump你又作出了一个极佳的选择。而如果你碰到必须追踪打开的文件在Unix意义上一切皆文件的需求可能你会使用lsof。

strace、tcpdump以及lsof确实是些伟大的工具它们应该成为每个系统管理员工具集中的一部分而这也正是你为什么会爱上sysdig的原因。它是一个强大的开源工具用于系统级别的勘察和排障它的创建者在介绍它时称之为“strace+tcpdump+lsof+上面点缀着lua樱桃的绝妙酱汁”。抛开幽默不说sysdig的最棒特性之一在于它不仅能分析Linux系统的“存活”状态也能将该状态保存为转储文件以供离线检查。更重要的是你可以自定义sysdig的行为或者甚至通过内建的你也可以自己编写名为凿子的小脚本增强其功能。单独的凿子可以脚本指定的各种风格分析sysdig捕获的事件流。

在本教程中我们将探索sysdig的安装及其基本用法在Linux上实施系统监控和排障。

安装Sysdig

对于本教程,由于为了简便、缩短安装流程以及版本不可知,我们将选择使用官方网站提供的自动化安装过程。在自动化过程中,安装脚本会自动检测操作系统并安装必需的依赖包。

以root身份运行以下命令来从官方apt/yum仓库安装sysdig

# curl -s https://s3.amazonaws.com/download.draios.com/stable/install-sysdig | bash 

安装完成后我们可以通过以下方法调用sysdig来感受一下它

# sysdig 

我们的屏幕将马上被系统上发生的所有事件填满,对于这些信息,我们不能做更多操作。要进一步处理,我们可以运行:

# sysdig -cl | less 

来查看可用的凿子列表。

The following categories are available by default, each of which is populated by multiple built-in chisels. 默认有以下类目可用,各个类目中分布有多个内建的凿子。

  • CPU UsageCPU使用量
  • Errors错误
  • I/O
  • Logs日志
  • Misc混杂
  • Net网络
  • Performance性能
  • Security安全
  • System State系统状态

要显示指定凿子上的信息(包括详细的命令行用法),运行以下命令:

# sysdig -cl [chisel_name] 

例如我们可以检查“网络”类目下关于spy_port凿子的信息

# sysdig -i spy_port 

凿子可以通过过滤器(可同时应用于存活数据和记录文件)组合,以获取更多有用的输出。

过滤器遵从“类.字段”结构。例如:

  • fd.cip客户端IP地址。
  • evt.dir:事件方向,可以是‘>’用于进入事件,或‘<’用于退出事件。

完成得过滤器列表可以通过以下命令显示:

# sysdig -l 

在本教程剩余部分我将演示几个sysdig的使用案例。

Sysdig实例 服务器性能排障

假定你的服务器发生了性能问题没有回应或者重大的回应延迟。你可以使用瓶颈凿子来显示当前10个最慢系统调用的列表。

使用以下命令在存活服务器上进行实时检查。“-c”标识后跟凿子名告诉sysdig运行指定的凿子。

# sysdig -c bottlenecks 

或者你可以离线对服务器实施性能分析。在此种情况下你可以保存完整的sysdig记录到文件然后像下面这样针对记录运行瓶颈凿子。

首先保存sysdige记录使用Ctrl+c来停止收集

# sysdig -w trace.scap 

收集完记录后,你可以运行以下命令来检查捕获间隔中最慢的系统调用:

# sysdig -r trace.scap -c bottlenecks 

你想要关注栏#2#3和#4这些分别表示执行时间、进程名和PID。

Sysdig实例 监控交互用户活动

假定你作为系统管理员想要监控系统中交互的用户活动用户在命令行输入了什么命令以及用户去了什么目录这时spy_user凿子就派上用场了。

让我们首先通过一些额外选项来收集一个sysdig记录。

# sysdig -s 4096 -z -w /mnt/sysdig/$(hostname).scap.gz 
  • “-s 4096”告诉sysdig每个事件捕获4096字节。
  • “-z” (与“-w”一起使用为记录文件启用压缩。
  • “-w ”保存sysdig记录到指定的文件。

在上面的例子中我们自定义了基于每个主机的压缩的记录文件的名称。记住你可以在任何时候按下Ctrl+c来打断sysdig的执行。

在我们收集到了合理数量的数据后,我们可以通过运行以下命令来查看每个用户的交互活动:

# sysdig -r /mnt/sysdig/debian.scap.gz -c spy_users 

上面输出的第一栏表示与指定用户的活动相关进程的PID。

如果你想要定位一个指定的用户以及只监控该用户的活动又怎么样呢你可以通过用户名对spy_users凿子的结果进行过滤

# sysdig -r /mnt/sysdig/debian.scap.gz -c spy_users "user.name=xmodulo" 

Sysdig实例 监控文件I/O

我们可以使用“-p”标识来自定义sysdig记录的输出格式并指定双引号括起来的想要的字段如用户名、进程名以及文件或套接口名称。在本例中我们将创建一个记录文件该文件将只包含在家目录中的写入事件我们今后可以使用“sysdig -r writetrace.scap.gz”来检测该文件

# sysdig -p "%user.name %proc.name %fd.name" "evt.type=write and fd.name contains /home/" -z -w writetrace.scap.gz 

Sysdig实例 监控网络I/O

作为服务器排障的一部分你可能想要监听网络通信此工作通常由tcpdump做。对于sysdig可以很容易进行通信嗅探其风格更为对用户友好。

例如你可以检查由特定IP地址特定进程如apache2提供的数据ASCII编码格式

# sysdig -s 4096 -A -c echo_fds fd.cip=192.168.0.100 -r /mnt/sysdig/debian.scap.gz proc.name=apache2 

如果你想要监控原生数据传输(二进制格式),请用“-A”替换“-X”

# sysdig -s 4096 -X -c echo_fds fd.cip=192.168.0.100 -r /mnt/sysdig/debian.scap.gz proc.name=apache2 

要获取更多信息、实例以及案例分析,你可以查阅项目网站。相信我会有着无限可能但请不要仅仅局限于我所写的这些。安装sysdig请从今天开始深入挖掘吧


via: http://xmodulo.com/monitor-troubleshoot-linux-server-sysdig.html

作者:Gabriel Cánepa 译者:GOLinux 校对:校对者ID

本文由 LCTT 原创翻译,Linux中国 荣誉推出