Sysdig 工作原理

sysdig工作原理

Sysdig架構

markdown-img-paste-20200101170710286.png

具體實現(xiàn)

  • 內核空間

首先,sysdig-probe 的這個驅動利用了內核組件tracepoint 捕獲在內核層面的事件。通過Tracepoint,可以放置一個能夠被內核中特殊函數(shù)調用的處理程序"handler"。現(xiàn)在,sysdig 在進入、退出、進程調度這些事件的系統(tǒng)調用上注冊了tracepoints,也即Sysdig-probe 的工作內容。Sysdig-probe對這些事件的處理程序"handler"極其簡單,它僅僅復制了事件的詳細信息到一個共享緩存區(qū)中,并對其編碼以供后面使用。讓"handler"如此簡單的一個重要原因就是性能考慮,因為原始的內核執(zhí)行程序會被“凍結”直到"handler"返回。
(tracepoint 提供了一個鉤子去調用一個函數(shù)(稱為probe,也即探針)。當一個tracepoint 被probe 連接上時便啟動了,每次tracepoint 被執(zhí)行的時候,probe 這個函數(shù)便會在調用方的執(zhí)行上下文中被調用。probe 結束執(zhí)行,返回給調用者,從tracepoint 位置繼續(xù)。)

  • 用戶空間

"event buffer"使用了內存映射的方式映射到用戶空間,因此它能夠在沒有進行任何復制操作的情況下被訪問,最小化了CPU使用率和減少緩存丟失的情況。"libscap"和"libsinsp"這兩個庫提供了讀、編碼以及解析事件的功能。具體來說,"libscap"提供了跟蹤文件管理功能,而"libsinsp"包含了復雜的狀態(tài)跟蹤功能(例如,可以使用文件名而不是FD),以及過濾、事件解碼、運行"chisels"工具的Lua JIT編譯器等。
最后,sysdig 對這些庫進行了簡單的包裝。

當"event buffer"填滿(即sysdig,libsinsp,libscap 來不及處理來自內核的事件流)的時候,sysdig-probe 便會開始丟棄即將到來的事件。這種情況下可能會丟失部分跟蹤信息,但機器或者其他進程的性能不會受其影響。這意味著,sysdig很適合用在生產(chǎn)環(huán)境上。

Linux系統(tǒng)調用相關

sysdig基于系統(tǒng)調用工作。系統(tǒng)調用,指運行在用戶空間的程序向操作系統(tǒng)內核請求需要更高權限運行的服務。系統(tǒng)調用提供用戶程序與操作系統(tǒng)之間的接口。大多數(shù)系統(tǒng)交互式操作需求在內核態(tài)運行。如設備IO操作或者進程間通信
簡單地說,系統(tǒng)調用是程序與操作系統(tǒng)交互的主要方式。系統(tǒng)調用接口包含了若干個操作系統(tǒng)賦予給運行在其上的應用程序使用的函數(shù)。這些函數(shù)允許打開文件、創(chuàng)建網(wǎng)絡連接、從文件中讀寫等操作,可以說機器上大部分的事件都要經(jīng)過系統(tǒng)調用。


想要掌握sysdig的使用,我們需要掌握以下系統(tǒng)調用。

clone
  • 主要工作:
    創(chuàng)建新進程
  • 作用:
    Clone 基本上是創(chuàng)建進程和線程的唯一Linux內核入口點。這意味著你能通過查看它觀察到所有進程和線程的活動執(zhí)行。子線程中的返回值為0,父線程中的子pid為0。Clone克隆是最復雜的系統(tǒng)調用之一,有很多可以告訴你很多關于新進程正在創(chuàng)建的標志
  • 注意:
    Clone 是唯一返回兩次的系統(tǒng)調用,一次是在父進程,一次在子進程。
execve
  • 主要工作:
    執(zhí)行新的程序
  • 作用:
    Execve 是運行程序的唯一Linux內核入口。用戶空間API有幾種變形,比如execl和fexecve,但它們最后都會激活系統(tǒng)調用execve。你基本上總能在clone操作后看見execve操作,監(jiān)控execve操作能告訴你什么程序在你的系統(tǒng)里執(zhí)行。單一程序、腳本、定時任務都會通過execve執(zhí)行。
chdir
  • 主要工作:
    改變當前進程的工作目錄
  • 作用:
    通過chdir,能看見誰訪問了哪個目錄
open/creat
  • 主要工作:
    打開乃至新建一個文件或設備
  • 作用:
    通過追蹤這個系統(tǒng)調用,你能夠看到文件什么時候被創(chuàng)建或修改
  • 注意:使用filters能夠讓在sysdig中追蹤這個系統(tǒng)調用更高效(更有趣)
    sysdig evt.type=open and proc.name=evilproc and file.name contains /etc
connect
  • 主要工作:
    在套接字上啟動連接
  • 作用:
    這是建立新的網(wǎng)絡連接的唯一內核入口。每一次機器上的進程想要連接某個地方,你就能看到這個系統(tǒng)調用。
  • 注意:
    sysdig evt.type=connect and fd.port=80
accept
  • 主要工作:
    接受套接字上的連接
  • 作用:
    此系統(tǒng)調用鏡像連接,即每次在機器上建立服務器連接時都將看到一個鏡像連接
read/write
  • 主要工作:
    read 和write 系統(tǒng)調用在Linux系統(tǒng)調用接口中有很多變形,如:readv、writev、preadv、pwritev、send、recv、sendto、recvfrom、sendmsg、recvmsg、recvmmsg。它們大致上做著相同的工作,即向一個文件描述符讀寫數(shù)據(jù),這是I/O操作的核心。
  • 作用:
    由于在Linux上幾乎所有東西都是一個文件描述符,觀察這些調用非常方便。通過它們可以看到文件的訪問、網(wǎng)絡數(shù)據(jù)的交換、pipes的活動以及unix套接字。
  • 注意:sysdig提供了一個chisel工具echo_fds讓我們能夠很方便地查看I/O活動
    sysdig -c echo_fds fd.name=/etc/passwd
unlink/rename
  • 主要工作:
    刪除或者重命名文件
  • 作用:
    open/creat 系統(tǒng)調用能告訴你新建了文件,read/write 調用的變形能告訴你文件什么時候被修改,而unlink和rename 則告訴你什么時候文件被刪除和重命名
brk/mmap/munmap
  • 主要工作:
    分配/釋放內存
  • 作用:
    這些系統(tǒng)調用能讓你觀察到進程什么時候分配或者釋放內存。brk 通常由malloc()使用,而mmap/mmunmap 具有更多用途,包括共享內存或將文件映射到內存
  • 注意:
    內存管理極其復雜,范圍遠超出這里的內容。 由于程序中的malloc()或new()方法,你幾乎永遠不會看到brk或mmap調用,因為一般情況下你的程序在獲取其內存之前可能會經(jīng)過至少一個或兩個實體。例如,glibc有一個內存分配器,該內存分配器從內核中請求大塊連續(xù)地址的內存,然后在用戶級別進行管理。你最喜歡的基于VM語言的垃圾回收器就是執(zhí)行類似的操作。
select/poll
  • 主要工作:
    等待操作執(zhí)行
  • 作用:
    當進程沒有主動去執(zhí)行某個操作時,它們可能被這兩者之一阻塞住了。觀察它們的參數(shù)能告訴我們進程在等待什么以及等了多久。
kill
  • 主要工作:
    發(fā)送信號
  • 作用:
    kill 用于進程間發(fā)送信號

參考資料:
https://sysdig.com/blog/sysdig-vs-dtrace-vs-strace-a-technical-discussion/
https://www.kernel.org/doc/Documentation/trace/tracepoints.txt
https://sysdig.com/blog/fascinating-world-linux-system-calls/

?著作權歸作者所有,轉載或內容合作請聯(lián)系作者
平臺聲明:文章內容(如有圖片或視頻亦包括在內)由作者上傳并發(fā)布,文章內容僅代表作者本人觀點,簡書系信息發(fā)布平臺,僅提供信息存儲服務。
  • 序言:七十年代末,一起剝皮案震驚了整個濱河市,隨后出現(xiàn)的幾起案子,更是在濱河造成了極大的恐慌,老刑警劉巖,帶你破解...
    沈念sama閱讀 229,763評論 6 539
  • 序言:濱河連續(xù)發(fā)生了三起死亡事件,死亡現(xiàn)場離奇詭異,居然都是意外死亡,警方通過查閱死者的電腦和手機,發(fā)現(xiàn)死者居然都...
    沈念sama閱讀 99,238評論 3 428
  • 文/潘曉璐 我一進店門,熙熙樓的掌柜王于貴愁眉苦臉地迎上來,“玉大人,你說我怎么就攤上這事。” “怎么了?”我有些...
    開封第一講書人閱讀 177,823評論 0 383
  • 文/不壞的土叔 我叫張陵,是天一觀的道長。 經(jīng)常有香客問我,道長,這世上最難降的妖魔是什么? 我笑而不...
    開封第一講書人閱讀 63,604評論 1 317
  • 正文 為了忘掉前任,我火速辦了婚禮,結果婚禮上,老公的妹妹穿的比我還像新娘。我一直安慰自己,他們只是感情好,可當我...
    茶點故事閱讀 72,339評論 6 410
  • 文/花漫 我一把揭開白布。 她就那樣靜靜地躺著,像睡著了一般。 火紅的嫁衣襯著肌膚如雪。 梳的紋絲不亂的頭發(fā)上,一...
    開封第一講書人閱讀 55,713評論 1 328
  • 那天,我揣著相機與錄音,去河邊找鬼。 笑死,一個胖子當著我的面吹牛,可吹牛的內容都是我干的。 我是一名探鬼主播,決...
    沈念sama閱讀 43,712評論 3 445
  • 文/蒼蘭香墨 我猛地睜開眼,長吁一口氣:“原來是場噩夢啊……” “哼!你這毒婦竟也來了?” 一聲冷哼從身側響起,我...
    開封第一講書人閱讀 42,893評論 0 289
  • 序言:老撾萬榮一對情侶失蹤,失蹤者是張志新(化名)和其女友劉穎,沒想到半個月后,有當?shù)厝嗽跇淞掷锇l(fā)現(xiàn)了一具尸體,經(jīng)...
    沈念sama閱讀 49,448評論 1 335
  • 正文 獨居荒郊野嶺守林人離奇死亡,尸身上長有42處帶血的膿包…… 初始之章·張勛 以下內容為張勛視角 年9月15日...
    茶點故事閱讀 41,201評論 3 357
  • 正文 我和宋清朗相戀三年,在試婚紗的時候發(fā)現(xiàn)自己被綠了。 大學時的朋友給我發(fā)了我未婚夫和他白月光在一起吃飯的照片。...
    茶點故事閱讀 43,397評論 1 372
  • 序言:一個原本活蹦亂跳的男人離奇死亡,死狀恐怖,靈堂內的尸體忽然破棺而出,到底是詐尸還是另有隱情,我是刑警寧澤,帶...
    沈念sama閱讀 38,944評論 5 363
  • 正文 年R本政府宣布,位于F島的核電站,受9級特大地震影響,放射性物質發(fā)生泄漏。R本人自食惡果不足惜,卻給世界環(huán)境...
    茶點故事閱讀 44,631評論 3 348
  • 文/蒙蒙 一、第九天 我趴在偏房一處隱蔽的房頂上張望。 院中可真熱鬧,春花似錦、人聲如沸。這莊子的主人今日做“春日...
    開封第一講書人閱讀 35,033評論 0 28
  • 文/蒼蘭香墨 我抬頭看了看天上的太陽。三九已至,卻和暖如春,著一層夾襖步出監(jiān)牢的瞬間,已是汗流浹背。 一陣腳步聲響...
    開封第一講書人閱讀 36,321評論 1 293
  • 我被黑心中介騙來泰國打工, 沒想到剛下飛機就差點兒被人妖公主榨干…… 1. 我叫王不留,地道東北人。 一個月前我還...
    沈念sama閱讀 52,128評論 3 398
  • 正文 我出身青樓,卻偏偏與公主長得像,于是被迫代替她去往敵國和親。 傳聞我的和親對象是個殘疾皇子,可洞房花燭夜當晚...
    茶點故事閱讀 48,347評論 2 377

推薦閱讀更多精彩內容

  • 主要參考:《程序員的自我修養(yǎng)》讀書總結編譯與鏈接過程的思考linux 下動態(tài)鏈接實現(xiàn)原理研讀《程序員的自我修養(yǎng)—鏈...
    林大鵬閱讀 5,577評論 0 13
  • 計算機系統(tǒng)漫游 代碼從文本到可執(zhí)行文件的過程(c語言示例):預處理階段,處理 #inlcude , #defin...
    willdimagine閱讀 3,614評論 0 5
  • 又來到了一個老生常談的問題,應用層軟件開發(fā)的程序員要不要了解和深入學習操作系統(tǒng)呢? 今天就這個問題開始,來談談操...
    tangsl閱讀 4,153評論 0 23
  • 文/tangsl(簡書作者) 原文鏈接:http://www.lxweimin.com/p/2b993a4b913e...
    西葫蘆炒胖子閱讀 3,798評論 0 5
  • 1、Linux內存頁管理 Linux內核管理物理內存是通過分頁機制實現(xiàn)的,它將整個內存劃分成4K大小頁,作為使分配...
    gbmaotai閱讀 1,434評論 0 2