這邊的章節主要都是針對 Falco 做介紹，因為前面幾天已經將 Falco 介紹完了，因此今天會針對 sysdig 做介紹。
sysdig 主要透過 kernel modules 和 system calls 來監控系統活動，而 Falco 則是基於 sysdig 的 library 開發，專注於安全事件檢測。

sysdig

安裝和基本使用

• Sysdig 安裝

sudo apt update
sudo apt install sysdig

• sysdig 使用

# 查看指令
sysdig -h 
# 查看可使用的事件類型
sysdig -l

監控特定 pod

# 查詢 container name
crictl ps

# 紀錄事件
sysdig -M <second> -p "%evt.time,%user.id,%proc.name" --cri /run/containerd/containerd.sock container.name=<container name> >> <output_file> 

chisels

為 sysdig 的內建分析腳本，常用來分析系統行為，可以透過 sysdig -cl 查看所有腳本
常用的是:

• topprocs_cpu：顯示 CPU 使用率最高的 process
• topfiles_bytes：顯示檔案 I/O 最多的 process
• spy_users：監控用戶活動

# 顯示 CPU 使用率最高的 process
sysdig -c topprocs_cpu
# 顯示最多 I/O 的 process
sysdig -c topfiles_bytes
# 檢視使用者登入及使用情形
sysdig -c spy_users

參考資料

• https://github.com/draios/sysdig/wiki