定位容器
//恶意外连
tcpdump -i docker0 dst host 恶意外连地址 -v
docker inspect -f '{{.Name}} {{.State.Pid}} - {{.NetworkSettings.IPAddress }}' $(docker ps -aq) |grep 172.17.0.2
//恶意进程
docker inspect -f "{{.Id}} {{.Name}} {{.State.Pid}}" $(docker ps -aq) | grep pid
docker inspect命令使用
//获取容器在宿主机上的PID
docker inspect -f '{{.State.Pid}}' <容器名>
//获取容器网络的相关信息
docker inspect -f {{.NetworkSettings}} <容器名>
docker inspect -f {{.NetworkSettings.IPAddress}} <容器名>
//目录在宿主机的具体挂载位置
docker inspect -f="{{json .Mounts}}" <容器名>
docker inspect -f "{{range .Mounts}} {{println .Source .Destination}} {{end}}" <容器名>
//查看网络信息
docker inspect -f="{{json .NetworkSettings}}" <容器名>
//定位镜像文件系统在宿主机上对应的目录
docker inspect gophish | grep Dir
//定位容器在宿主机上的挂载目录
docker inspect --format="{{json .Mounts}}" <容器名> | jq
//查看运行的容器对应的镜像版本
docker inspect gophish | grep Image
其他命令
docker logs <容器名>
//查看容器内文件状态变化,三种状态(A - Add, D - Delete, C - Change )
docker diff <容器名> | grep A
//查看容器的CPU、内存、网络 I/O等情况
docker stats <容器名>
//查看容器中的进程信息
docker top <容器名>
处置命令
docker commmit <容器ID>
docker pause <容器ID>
docker unpause <容器ID>
docker rm -f <容器ID>