這邊的章節主要都是針對 Falco 做介紹,因為前面幾天已經將 Falco 介紹完了,因此今天會針對 sysdig 做介紹。
sysdig 主要透過 kernel modules 和 system calls 來監控系統活動,而 Falco 則是基於 sysdig 的 library 開發,專注於安全事件檢測。
sudo apt update
sudo apt install sysdig
# 查看指令
sysdig -h
# 查看可使用的事件類型
sysdig -l
# 查詢 container name
crictl ps
# 紀錄事件
sysdig -M <second> -p "%evt.time,%user.id,%proc.name" --cri /run/containerd/containerd.sock container.name=<container name> >> <output_file>
為 sysdig 的內建分析腳本,常用來分析系統行為,可以透過 sysdig -cl
查看所有腳本
常用的是:
# 顯示 CPU 使用率最高的 process
sysdig -c topprocs_cpu
# 顯示最多 I/O 的 process
sysdig -c topfiles_bytes
# 檢視使用者登入及使用情形
sysdig -c spy_users