sysdig
une brève introduction
Lyon, 21 septembre 2016
Appuyez sur [s] pour ouvrir les notes présentateur dans une nouvelle fenêtre.
Utilisez la touche [ESPACE]
pour passer au slide suivant.
Que fait mon système ?
Mais ****** pourquoi ça rame encore, ce site ???Pascal MARTIN, tous les jours
Et vous ?
Que se passe-t-il ?
- Sur ma machine ?
- Sur mon serveur ?
- Dans ma VM ?
- Dans mon container ?
ps
htop
strace
nethogs
tcpdump
netstat
top,
htop,
atop,
apachetop,
ftptop,
mytop,
powertop,
iotop,
ngrep,
bmon,
traceroute,
ss,
lsof,
nmap,
Glances,
saidar,
df,
dstat,
vmstat,
uptime,
mpstat,
pmap,
sar,
free,
/proc,
multitail,
watch,
dtrace,
stat,
ifconfig,
lshw,
w,
iostat,
iptraf,
...
Bref...
- Plein d'outils
- Aucun ne fonctionne comme les autres
- Chacun a ses options
Installation
- Paquets pour RHEL, CentOS, Debian, Ubuntu, ...
- Script d'installation automatisé
- Instructions pour installation manuelle
Installation (debian)
curl -s https://s3.amazonaws.com/download.draios.com/DRAIOS-GPG-KEY.public \
| sudo apt-key add -
sudo curl -s -o /etc/apt/sources.list.d/draios.list \
http://download.draios.com/stable/deb/draios.list
sudo apt-get update
sudo apt-get install -y linux-headers-$(uname -r)
sudo apt-get install -y sysdig
Windows ? Mac ?
Limité à la lecture de trace générées sous Linux.
Lister tout ce qu'il se passe
sudo sysdig
Plus raisonnablement :
sudo sysdig -n 100
Enregistrer vers un fichier
sudo sysdig -w mon-fichier.scap
Analyser depuis un fichier
sysdig -r mon-fichier.scap
Visibilité dans les containers
sudo sysdig -pc -n 100
Filtrons !
sysdig proc.name=php
Et en parallèle :
php -S localhost:8001
Filtrer
- Opérateurs :
=,!=,<,<=,>,>=,contains - Combinaison :
or,and,not - On peut utiliser des parenthèses
Espionner root
sysdig "evt.type=chdir \
and user.name=root \
and proc.name!=acpi"
Choisir les informations affichées : -p
sysdig
-p "%12user.name %6proc.pid %12proc.name \
%3fd.num %fd.typechar %fd.name" \
"evt.type=open and fd.name contains .xml"
Magento et son cache en fichiers
sysdig -pc "evt.type=open \
and fd.name contains /var/cache/"
Les 404 sur notre site
sysdig "proc.name=nginx \
and evt.type=open \
and evt.failed=true"
Toutes les requêtes SELECT
sysdig "proc.name contains php-fpm \
and evt.buffer contains SELECT"
Liste des filtres
sysdig -l
Liste des événements
sysdig -L
Les chisels
Chisels ?
Scripts qui analysent le flux d'événements pour réaliser des actions utiles.
sysdig -c NOM_DU_CHISEL
sysdig -cl
sysdig -i NOM_DU_CHISEL
Fichiers avec le plus d'I/O
sysdig -pc -c topfiles_bytes
sysdig -pc -c topfiles_bytes \
"container.name=tea-ecommerce \
and fd.directory contains cache"
Accès fichiers lents (>3msec)
sysdig -pc -c fileslower 3
Suivre des logs
sysdig -pc -cspy_logs \
"fd.name contains access.log \
or container.name=tea-db"
sysdig -pc -cspy_logs \
"evt.args contains IndexEcommerce_fr \
and evt.args contains path=/select"
csysdig
csysdig
Interface graphique qui permet de visualiser ce qu'il se passe en live.
Tous les processus exécutés dans des containers
csysdig -pc "container.name!=host"
Analyser une requête
csysdig -pc "proc.name=php"
Astuce : F5 et F6.
Conclusion
C'est cool \o/
- Un seul outil
- Une seule série d'options
- Vision globale / en profondeur
- Collecte / analyse
- Fonction en-ligne / hors-ligne
rootsouvent requis
Pascal MARTIN
blog.pascal-martin.fr
contact@pascal-martin.fr
@pascal_martin
TEA, The Ebook Alternative
« PHP 7 avancé »
- Écrit avec Julien Pauli, Cyril Pierre de Geyer et Éric Daspet
- Éditions Eyrolles
- 13 octobre !