全栈级系统调用跟踪工具sysdig使用指南

原创 已于 2025-08-13 21:16:15 修改 · 置顶 · 1.3k 阅读 · 31 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#sysdig #cpu分析 #系统调用 #Linux #全栈调用

于 2025-08-13 17:24:37 首次发布

目录

1. 安装方法

2. 核心功能操作

2.1 基础命令格式

2.1.1 核心选项

2.1.2 常用过滤字段

3. 应用场景

3.1 基础应用

3.1.1 实时监控所有系统调用

3.1.2 按进程名过滤

3.1.3 按系统调用类型过滤

3.1.4 数据保存与回放

3.1.4.1 捕获到文件

3.1.4.2 离线分析

3.2 高级过滤与分析

3.2.1 组合过滤条件

3.2.2 输出字段定制

3.2.3 统计高频调用

3.3 容器环境跟踪

3.3.1 监控特定容器

3.3.2 监控容器网络流量

3.3.3  跟踪目标容器的文件活动

3.3.4 显示CPU使用率最高的容器

3.3.5 跟踪容器内文件访问

3.3.6 容器内进程CPU排名

3.4 定位文件泄露

3.5 分析慢SQL查询

3.6 追踪网络连接问题

3.7 自定义聚合分析--捕获延迟>1ms的读写

3.8 离线分析与性能审计

3.8.1 捕获数据供深度分析

3.8.2 离线分析热点

3.9 典型问题定位流程

案例:Nginx容器CPU飙升

        Sysdig 是一款功能强大的 Linux 系统监控与分析工具,专为实时跟踪系统调用(system calls)和诊断系统故障设计。它整合了 strace、tcpdump、lsof 等多个传统工具的功能,提供统一的命令行接口,广泛应用于系统监控、资源优化和故障排查场景,尤其在容器环境(如 Docker 和 Kubernetes)中表现出色。

1. 安装方法

  • 官方脚本安装(推荐) 
    curl -s https://s3.amazonaws.com/download.draios.com/stable/install-sysdig | sudo bash
    • 注意:网络不稳定时可多次尝试,脚本支持主流Linux发行版(如Ubuntu/CentOS)。

2. 核心功能操作

2.1 基础命令格式

sysdig [选项] [过滤表达式]

2.1.1 核心选项

选项作用
-s 字节数限制每行输出字节数(避免日志过大)
-w 文件.scap捕获系统状态并保存为文件(仅sysdig可解析)
-r 文件.scap读取已保存的捕获文件进行分析
-c 凿子名称调用预设的分析脚本(Chisel)
-l列出所有可用凿子脚本

2.1.2 常用过滤字段

字段示例值用途
proc.namenginx按进程名过滤
evt.typeread, write按系统调用类型过滤
fd.port80, 3306按网络端口过滤
fd.directory/etc按文件目录过滤
container.idabcd1234按容器ID过滤

3. 应用场景

3.1 基础应用

3.1.1 实时监控所有系统调用

sudo sysdig
  • 输出说明:每行显示一个系统调用事件,包含进程名、CPU、文件/网络操作等原始数据(按 Ctrl+C 停止)。

3.1.2 按进程名过滤

sudo sysdig proc.name=nginx  # 只跟踪Nginx进程

3.1.3 按系统调用类型过滤

sudo sysdig evt.type=open    # 仅跟踪文件打开操作
sudo sysdig evt.type=connect # 仅跟踪网络连接

3.1.4 数据保存与回放

3.1.4.1 捕获到文件
sudo sysdig -w trace.scap  # 保存为.scap文件
  • 注意:文件较大时用 -s 1024 限制每事件记录大小。
3.1.4.2 离线分析
sudo sysdig -r trace.scap "proc.name=python"  # 从文件过滤数据

3.2 高级过滤与分析

3.2.1 组合过滤条件

sudo sysdig "proc.name=nginx and evt.type=accept and fd.port=80"
  • 解释:监控Nginx进程在80端口的连接接受事件。

3.2.2 输出字段定制

sudo sysdig -p"%evt.time %proc.name %fd.name" evt.type=read
  • 字段说明
    • %evt.time:事件时间戳
    • %proc.name:进程名
    • %fd.name:操作的文件/网络描述符

3.2.3 统计高频调用

sudo sysdig -c topscalls  # 显示最频繁的系统调用

3.3 容器环境跟踪

3.3.1 监控特定容器

sudo sysdig -p  container.name=my_container

3.3.2 监控容器网络流量

  • 选项-p 自动解析容器信息。
sudo sysdig -c topprocs_net container.name=容器名

3.3.3  跟踪目标容器的文件活动

sudo sysdig -c topfiles_bytes container.name=容器名

3.3.4 显示CPU使用率最高的容器

sudo  sysdig -c bottlenecks
sudo  sysdig -c topcontainers_cpu

  • 对整体系统:优先用 bottlenecks
  • 对容器集群:先用 topcontainers_cpu 筛选容器,再用 bottlenecks 细化。

3.3.5 跟踪容器内文件访问

sudo sysdig -p "container.id=abcd1234 and evt.type=open"

3.3.6 容器内进程CPU排名

sudo sysdig  -c topprocs_cpu container.name=<容器名>

3.4 定位文件泄露

sudo sysdig "evt.type=open and proc.name!=lsof and fd.name contains /tmp"
  • 作用:监控非 lsof 进程对 /tmp 目录的异常文件访问。

3.5 分析慢SQL查询

sudo sysdig -c fileslower 1000  # 显示耗时>1秒的文件I/O

3.6 追踪网络连接问题

sudo sysdig "evt.type=connect and fd.port=3306 and proc.name=app"
  • 用途:排查应用连接MySQL(3306端口)的失败请求。

3.7 自定义聚合分析--捕获延迟>1ms的读写

sudo sysdig -p"%proc.name %fd.name %evt.latency" "evt.type in (read,write) and evt.latency > 1000000"

3.8 离线分析与性能审计

3.8.1 捕获数据供深度分析

sudo sysdig -s 4096 -w cpu_high.scap  # 保存完整调用数据
  • 参数说明
    • -s 4096:增大捕获缓冲区
    • -w:保存为Sysdig专用格式

3.8.2 离线分析热点

sudo sysdig -r cpu_high.scap -c topscalls_time


sudo sysdig -r cpu_high.scap -c spectrogram  # 生成CPU负载时间分布图

3.9 典型问题定位流程

案例:Nginx容器CPU飙升
  1. 定位问题容器
    sudo sysdig -pc -c topcontainers_cpu
  2. 分析容器内进程
    sudo sysdig -pc -c topprocs_cpu container.name=nginx
  3. 追踪具体调用
    sudo sysdig -pc "container.name=nginx and proc.name=worker" \
-p"%syscall.type %evt.latency %fd.name"
  4. 发现瓶颈
    1. 若输出显示epoll_wait延迟高 → 网络连接数过多
    2. write调用频繁 → 检查日志写入量
岚叔运维
关注
【操作系统】strace 跟踪系统调用(一)
一个偶尔更新,有点神经质的开发人员,专注于网络安全和人工智能应用领域。
07-13 1199
strace 是一个非常有用的诊断、调试和教学工具,用于 Linux 系统。它能够跟踪程序执行过程中所进行的系统调用(system calls)以及程序接收到的信号(signals)。通过使用 strace,你可以监控你的应用程序与操作系统内核之间的交互细节,这对于分析程序行为、找出性能瓶颈或定位错误非常有帮助。
Sysdig入门:如何使用Sysdig监控容器系统?
zgt_certificate的博客
06-17 550
它提供了多种预定义的功能集,称为 Chisels,用于分析特定的场景。Chisels 是一组预定义的功能集,用来分析特定的场景。:显示特定容器的CPU使用情况,可以按容器名称或ID查看。:显示读写磁盘文件最多的进程,特别是etcd进程。:分别显示CPU、网络、文件资源使用最高的容器。:统计进程打开的文件描述符数量,前10名。:列出所有打开的文件和对应的进程。:统计连接的IP地址,前10名。:显示磁盘读写活动最频繁的进程。:显示CPU使用率最高的进程。:显示网络活动最频繁的进程。:按端口统计传输的字节数。
SysdigLinux服务器监控和排障利器
weixin_34249678的博客
10-18 215
安装Sysdig对于本教程,由于为了简便、缩短安装流程以及版本的不可知,我们将选择使用官方网站提供的自动化安装过程。在自动化过程中,安装脚本会自动检测操作系统并安装必需的依赖包。以root身份运行以下命令来从官方apt/yum仓库安装sysdig:# curl -s https://s3.amazonaws.com/download.draios.com/stable/install-sysdig...
Monitor tools of sysdig
Gavin Blog
09-12 666
Sysdig 是一款强大的系统分析工具,能够监控和捕捉到大量的系统状态信息。它可以用来监控包括但不限于以下状态:CPU 使用率:可以监控整体系统或者特定进程的CPU使用情况。内存使用:能够检查系统的内存使用率,包括物理内存、交换分区等。I/O 活动:监控磁盘I/O活动,如读写操作和I/O等待时间,可以用于诊断性能瓶颈。文件操作:捕捉对文件的打开、读写、关闭等操作,用于分析文件使用情况或未授权访问。网络活动:监听所有网络活动,包括连接的建立与断开、数据包的传输等。
跟踪系统调用strace
qq_24601427的博客
11-07 360
Linux跟踪系统调用strace程序高strace参数监视程序系统调用附加到正在运行的程序 strace程序 能够截取程序发出的系统调用并且显示它们,被跟踪的程序可以是从strace命令运行的,也可以是系统上已经运行的进程。 例程: $ strace ./syscalltest2 添加命令行参数-c,在程序执行之后创建一个报告,概述发出的所有系统调用,以及每个系统调用花费的时间) $ str...
sysdig 命令
爱死亡机器人
01-24 2228
使用 sysdig 最简单的方法是不带任何参数地调用它。这样做会导致 sysdig 捕获每个事件并将其写入标准输出,就像 strace 所做的那样。 $ sysdig 34378 12:02:36.269753803 2 echo (7896) > close fd=3(/usr/lib/locale/locale-archive) 34379 12:02:36.269754164 2 echo (7896) < close res=0 34380 12:02:36.269781699 2 ec
监控系统的数据收集与应用指南
# 监控系统的数据收集与应用指南 ## 1. 数据收集概述 在选择和部署好监控系统后,还需确保感兴趣的监控数据和事件能进入中央监控平台。这个过程的细节取决于要监控的系统和监控平台的理念。很多时候,需要编写简单...
Ubuntu容器化开发指南:从编码到部署的无缝衔接
[Ubuntu容器化开发指南:从编码到部署的无缝衔接](https://i0.wp.com/www.linuxtuto.com/wp-content/uploads/2024/04/docker_ubuntu.webp?fit=900%2C500&ssl=1) # 1. Ubuntu容器化开发概述 容器化技术的兴起,...
SystemTap LTTng Dtrace sysdig
06-17
| **sysdig** | 容器感知的系统调用分析工具 | 系统调用捕获 + Lua 脚本扩展[^2] | Linux (容器环境优先) | --- #### 2. **核心功能对比** | **功能维度** | SystemTap | LTTng | Dtrace | sysdig | |------------...
ptrace strace ltrace ftrace dtrace eBPF bcc bftrace SystemTap sysdig LTTng perf gperftools Valgrind
最新发布
06-19
| **追踪** | `LTTng`/`sysdig` | 跨进程/容器调用链追踪 | --- #### 二、详细功能与用法对比 **1. 基础追踪工具** | 工具 | 原理 | 典型命令 | 输出示例 | 开销 | |------------|-------------------|---...
Linux命令大Linux容器安终极指南:从Namespace到eBPF的深度防护
资深全栈架构师,乐于在 优快云 分享技术见解,与大家携手共进,共攀技术巅峰!
06-09 870
容器逃逸攻击横向扩散敏感数据意外泄露供应链投毒风险运行时不可变要求多租户隔离需求💡关键数据:CNCF报告显示,配置不当的容器平均存活时间仅56分钟就会被攻陷!
系统调用追踪之strace
安得情怀似旧时
11-29 917
strace 是一个常用的linux命令,应该是 trace system calls的简写形式,用来追踪一个程序的系统调用。 1、启动并跟踪程序 strace ./test.exe ## 结果打印在屏幕 strace -o out.txt ./test.exe ## 结果输出在文件 strace -f -o out.txt ./test.exe ## -f...
超强的系统挖掘工具sysdig
weixin_34411563的博客
11-15 654
sysdigsysdig cloud 出品的主要基于Lua语言开发一个超强的工具,就像其在站点首页上所描述的“Sysdig is open source, system-level exploration: capture system state and activity from a running Linux instance, then save, filter ...
使用strace命令跟踪系统调用
weixin_30954607的博客
04-29 737
一、是什么strace? strace常用来跟踪进程执行时的系统调用和所接收的信号。 在Linux世界,进程不能直接访问硬件设备,当进程需要访问硬件设备(比如读取磁盘文件,接收网络数据等等)时,必须由用户态模式切换至内核态模式,通过系统调用访问硬件设备。 strace可以跟踪到一个进程产生的系统调用,包括参数,返回值,执行消耗的时间。 什么是系统调用系统调用(英语:system call),...
Sysdig 安装
gam0n的博客
08-29 1236
sysdiglinux(以ubuntu为例)上安装 1.自动安装 以root用户执行: curl -s https://s3.amazonaws.com/download.draios.com/stable/install-sysdig | sudo bash 然后install-sysdig脚本会下载对应的系统版本进行自动安装。 2.手动安装 curl -s https://s...
系统调用跟踪-xv6 lab syscall
风雨夕的博客
03-20 7635
1.概述 本文记录xv6操作系统的系统调用跟踪实验,xv6是一个类Unix的简单操作系统。该实验是要求实现一个trace系统调用,该系统调用的功能是根据用户传入的系统调用跟踪某个或者某些进程的系统调用情况。 2. 实验要求 2.1 实验铺垫 有一个已给出的用户态trace.c程序如下: 复制 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 #inclu
Linux: 系统调用追踪原理简析
JiMoKuangXiangQu的专栏
02-09 1278
linux,ptrace,strace,系统调用追踪
四、Linux系统调用跟踪工具strace
Primary_rookie的博客
04-01 1028
Linux系统调用跟踪工具strace使用笔记
linux ptrace 图文详解(七) gdb、strace跟踪系统调用
h_b__k的博客
04-25 1107
本文介绍了gdb、strace通过ptrace监控被调试程序的所有系统调用的实现原理。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值