【CKS】考试之 sysdig

已于 2023-12-07 10:38:46 修改
阅读量428 收藏
点赞数
分类专栏: CKS 文章标签: kubernetes devops 运维 docker
于 2023-09-11 13:38:34 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sinat_33076015/article/details/132804891
版权

15. 【CKS】 考试之 sysdig

15.1 题目要求

在这里插入图片描述
在这里插入图片描述在这里插入图片描述

15.2 sysdig常用命令

  1. 查看可用的chisel(凿子):sysdig -cl | less

  2. 查看cpu信息:sysdig -c topprocs_cpu

  3. 查看网络信息:sysdig -c topprocs_net

  4. 获取主机的数据流并保存到文件: sysdig -s 4096 -z -w /tmp/sysdig/xyz.scap.gz

  +  -s :指定获取的字节数

  +  -z:压缩保存

  + -w:输出到指定文件

  5. 指定输出格式:sysdig -p

     + %evt.num: 事件序列号
     + %evt.time:事件发生的时间
     + %evt.cpu:事件所在的CPU序号
     + %proc.name:进程名称
     + %user.name:用户名称
     + %user.uid:用户ID

     例如:

     sysdig -M 30 -p "%evt.time,%user.name,%proc.name" container.name=tomcat

  6. 选项:

     + -c 运行指定的chisel,如果chisel需要参数,则必须用--chisel=chiselname chiselargs形式
     + -cl 列出可用的chisel,从./chisels, ~/.chisels,/usr/share/sysdig/chisels搜索
     + -M 在指定秒数之后停止收集
     + -n 在获取指定数量的事件之后停止收集
     + -S 在捕获结束,例如列出top事件之后,打印汇总摘要
     + -s 捕获IO缓冲的前N字节,默认80

15.3 操作步骤

  切换 Context 后, ssh 到对应的工作节点

15.3.1 查看容器的名字或ID

  ```shell
  #方法一(工作节点执行)
  docker  ps | grep tomcat
  
  #方法二 (工作节点执行)
  crictl ps | grep tomcat
  
  # 方法三 (退出工作节点执行)
  kubectl get po tomcat|grep	 container
  ```

15.3.2 使用sysdig 进行检测

  ```shell
  sysdig -M 30 -p "%evt.time,%user.name,%proc.name"
  container.name=redis > /opt/KSRS00101/events/details
  ```
辰蒙关照
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
CKS学习笔记-Sysdig
weixin_43394724的博客
12-18 1045
sysdig 它是一个强大的开源工具,用于系统级别的勘察和排障,它的创建者在介绍它时称之为“strace+tcpdump+lsof+上面点缀着lua樱桃的绝妙酱汁”。抛开幽默不说,sysdig的最棒特性之一在于,它不仅能分析Linux系统的“现场”状态,也能将该状态保存为转储文件以供离线检查。更重要的是,你可以自定义sysdig的行为,或者甚至通过内建的(你也可以自己编写)名为凿子(chisel)的小脚本增强其功能。单独的凿子可以以脚本指定的各种风格分析sysdig捕获的事件流。 sysdig安装: cur
CKS 认证实战班视频课程2022
03-09
分享一套CKS视频教程,2022年1月结课的新课 课程大纲: 第1章 开班仪式 第2章 模块一:Kubernetes集群设置 第3章 模块二:Kubernetes 集群强化 第4章 模块三:Kubernetes 系统强化 第5章 模块四:最小化微服务漏洞 ...
CKS-系统强化-SECcomp(sysdig)
weixin_45081220的博客
06-22 351
linux kernel从2.6.23版本开始所支持的一种安全机制 在Linux系统里,大量的系统调用(systemcall)直接暴露给用户态程序。但是,并不是所有的系统调用都被需要,而且不安全的代码滥用系统调用会对系统造成安全威胁。通过seccomp,我们限制程序使用某些系统调用,这样可以减少系统的暴露面,使程序进入一种“安全”的状态。官方说明 https://www.kernel.org/doc/Documentation/prctl/seccomp_filter.txt我们系统有300多个系
Sysdig 命令
akdjfhx的博客
09-20 1064
Sysdig 命令
【K8S认证】2023年CKS考题-Sysdig&Falco(解析+答案)
u014481728的博客
10-27 2317
【K8S认证】2023年CKS考题-Sysdig&Falco(解析+答案)
sysdig 命令
爱死亡机器人
01-24 1616
使用 sysdig 最简单的方法是不带任何参数地调用它。这样做会导致 sysdig 捕获每个事件并将其写入标准输出,就像 strace 所做的那样。 $ sysdig 34378 12:02:36.269753803 2 echo (7896) > close fd=3(/usr/lib/locale/locale-archive) 34379 12:02:36.269754164 2 echo (7896) < close res=0 34380 12:02:36.269781699 2 ec
linuxfoundation kubernetes/k8s CKS考试实验手册
01-28
《Linux基金会 Kubernetes/K8s CKS考试实验手册》是针对LFS260课程的一份重要参考资料,旨在帮助考生深入理解和掌握Kubernetes的安全基础。该手册由Linux基金会于2021年1月7日发布,并对版权有严格的保护规定,仅供...
K8S-CKS介绍及实战演示
02-07
K8S---CKS介绍及实战演示
CKS之容器进程分析工具:Sysdig
最新发布
DwanCloud
03-27 486
Sysdig 是一款集多种功能于一体的强大系统监控、分析和故障排查工具。它综合了 strace、tcpdump、htop、iftop 以及 lsof 等工具的功能,能够提供系统资源利用率、进程活动、网络连接以及系统调用等详细信息。Sysdig 不仅能够捕获大量系统运行数据,还具备强大的数据分析能力Sysdig 通过在内核中嵌入驱动模块来挂钩系统调用。这使得在系统调用执行和完成时,它能够捕获相关信息,并将其传输至一个特定的缓冲区。随后,用户空间的组件对这些数据进行处理,包括解压、解析和过滤等操作。
CKS1.23 考试题整理(11)-使用 sysdig 检查容器里里的异常进程
april_4的博客
04-19 1139
题目 使用运行时检测工具来检测 Pod tomcat 单个容器中频发生成和执行的异常进程 有两种工具可供使用: l sysdig l falco 注: 这些工具只预装在cluster的工作节点,不在 master 节点。 使用工具至少分析30秒 ,使用过滤器检查生成和执行的进程,将事件写到 /opt/KSR00101/incidents/summary文件中, 其中包含检测的事件, 格式如下: [timestamp],[uid],[processName] 保持工具的原始时间戳格式不变。
sysdig_功能强大的系统工具Sysdig命令实例介绍
weixin_39993989的博客
12-22 319
Sysdig是一个能够让系统管理员和开发人员以前所未有方式洞察其系统行为的监控工具。我们可以用sysdig命令做很多很酷的事情。你如果有更有趣的用法,想添加到下面的命令例子中,请告诉我们! 1.网络查看占用网络带宽最多的进程: sysdig-ctopprocs_net显示主机192.168.0.1的网络传输数据:asbinary:sysdig-s2000-X-cecho_fd...
kubernetes--分析容器系统调用:Sysdig
m0_57911290的博客
03-06 3295
Sysdig是一个非常强大的系统监控分析和故障排查工具。汇聚strace+tcpdump+iftop+lsof工具功能为一身。sysdig除了能获取系统资源利用率、进程、网络连接、系统调等信息,还具备了很强的分析能力,例如:1.按照CPU使用率对进程排序2.按照数据包对进程排序3.打开最多文件描述符进程4.查看进程打开了哪些文件5.查看进程HTTP请求报文6.查看机器上容器列表及资源使用情况项目地址:https://github.com/draios/sysdig
超级系统工具Sysdig,比 strace、tcpdump、lsof 加起来还强大
秋香的博客
11-04 1508
可以用sysdig命令做很多很酷的事情网络查看占用网络带宽最多的进程sysdig -c topprocs_net 显示主机192.168.0.1的网络传输数据as binary: sysdig -s2000 -X -c echo_fds fd.cip=192.168.0.1 as ASCII: sysdig -s2000 -A -c echo_fds fd.cip=192.168.0.1
K8s进阶7——Sysdig、Falco、审计日志
百慕卿君博客
05-28 2551
1、Sysdig收集分析系统调用,配合Chisels工具使用实战。 2、Falco监控容器运行时,编写监控策略+web页面展示实战。 3、审计日志策略编写+实战
CKS认证题库
托瓦斯克一
11-28 2991
2022年11月最新CKS认证
二十六、K8s系统强化2-seccomp与sysdig
tushanpeipei的博客
12-14 2251
Seccomp和sysdig在K8s环境中的运用
2022年2月kubernetes cks备考记录
scwang18的博客
02-19 1721
前言 CKA 和 CKS 是 LINUX 基金会联合 CNCF社区组织的云原生技术领域权威得技术水平认证考试考试采用实操方式进行。CKS全称是Kubernetes安全专家认证,它在一个模拟真实的环境中测试考生对Kubernetes和云安全的知识。在参加CKS考试之前,必须已经通过CKA(Kubernetes管理员认证),在获得CKA认证之后才可以预约CKS考试CKS考试难度相对于 CKA 提高了很多,2个小时的考试时间很紧张,因为考试是在外网上进行,这两个考试又是实操考试,网络条件不好,很影响效率,
我的上一个问题里面 if ((strcmp(p_gap_evt->params.connected.peer_addr.addr, DEVICE_ADDR_1) == 0) || (strcmp(p_gap_evt->params.connected.peer_addr.addr, DEVICE_ADDR_2) == 0) || (p_ble_evt->evt.gap_evt.params.connected.peer_id_addr_info.p_id_addr->addr_type == BLE_GAP_ADDR_TYPE_RANDOM_PRIVATE_RESOLVABLE)这里为什么是判断设备地址而不是设备名称或者UUID呢?
06-09
在 BLE(蓝牙低功耗)协议中,每个设备都有一个唯一的 MAC 地址作为其硬件标识符。因此,通过检查连接事件中的设备地址,可以确定正在连接的设备。而设备名称和 UUID(通用唯一标识符)是可配置的,并且可以在不同的设备之间重复使用。因此,使用设备地址更可靠地确定正在连接的设备。此外,代码中还检查了设备地址类型是否为 BLE_GAP_ADDR_TYPE_RANDOM_PRIVATE_RESOLVABLE,这是为了支持使用随机私有可解析地址的设备。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值