Sysdig Inspectを視覚的に解説

By 清水 孝郎 - JUNE 20, 2022
Topics: Sysdig機能, オープンソース

SHARE:

本文の内容は、2017年12月14日にKnox Andersonが投稿したブログ(https://sysdig.com/blog/sysdig-inspect-explained-visually/)を元に日本語に翻訳・再構成した内容となっております。

Sysdig Inspectは、システムコール解析のためのElectronベースのGUIです。デスクトップアプリケーションとしてローカルで実行することも、Sysdig MonitorやSysdig Secureからのキャプチャーをブラウザ経由で読み込むこともできます。Sysdig Inspectは、Sysdigキャプチャーから得られる豊富なデータを、トラブルシューティングやフォレンジック分析のための強力なワークフローを内蔵したUIに取り込むために作成されました。

Sysdig Inspectは、sysdigのキャプチャー(tcpdump .pcapファイルに似た.scapファイル)を読み込むことで動作し、コンテナのトラブルシューティングをオフホストで事後的に行うことを可能にします。.scap ファイルは、一定期間内にファイルに書き込まれたすべてのシステムイベントから構成されています。

Sysdig Inspectの概要 – あなたのボックスで起こっているすべての概要

csysdigも視覚的に説明することで分かりやすいかと思います。この投稿の真の動機付けとなったのはこちらのhtopを視覚的に説明したオリジナルの文面(英語)です。ここに謝意を表します。



まずは、.scap ファイルを開いたときに最初に表示される Sysdig Inspect のOverviewページから始めましょう。ここから、トラブルシューティングやフォレンジックの旅が始まります。

コンテンツはタイルで構成されており、各タイルには関連するメトリクスの値とそのトレンドが表示されます。タイルは、ネットワークやファイル I/O などのカテゴリーに整理され、有用な情報をより明確に表示し、調査の出発点となります。

Sysdig Inspect Timelines – システム、ユーザー、コンテナのアクティビティを時系列で相関させることができます!


タイルをクリックすると、そのタイルが示すメトリクスの1秒未満のトレンドが表示されます。そう、1秒未満です。このレベルの粒度でシステム、コンテナ、アプリケーションを見ると、その違いに驚かれることでしょう。複数のタイルを選択して、メトリクスが互いにどのように相関しているかを確認し、ホットスポットを視覚的に特定することができます。さらに、タイムラインの両端にある選択部分をスライドさせることで、特定のタイムウィンドウを分離し、フィルタリングを行うことができます。

Sysdig Inspect Views – 必要なデータに簡単にアクセスできます!


どのタイルもダブルクリックでドリルダウンして、その背後にあるデータを確認し、調査を開始することができます。

Sysdig Inspectのビューには、システムに関する詳細な情報を提供するために、数百の異なるカラムオプションが用意されており、複数のアウトオブザボックスビューがあります。既成のビューには以下のものがあります:
  • Connections
  • Containers
  • Directories
  • Errors
  • Files
  • I/O by Type
  • Page Faults
  • Port bindings
  • Processes
  • Processes CPU
  • Processes Errors
  • Server Ports
  • Slow File I/O
  • Spy Users
  • System Calls
  • Threads

Inspectはオープンソースであるため、特定のワークロードを可視化するビューをカスタムで作成することができます。

データパネルに表示されるカラムは、選択したビューによって異なります。この特定の Spy Users ビューでは、ユーザーによって実行されたすべてのコマンドと、さらに次のような詳細が表示されます。
  • Subsecond Timestamps
  • User Information
  • ShellID
  • Container
  • Command Arguments


Sysdig Inspect ビューの続き – 欲しいデータを簡単にフィルタリング


この時点で、タイムラインを使用して表示するデータを制限するか、またはデータの行をダブルクリックしてさらにドリルダウンすることができます。コマンドやスレッドをダブルクリックすると、ビューを切り替えて、別のレイヤーのフィルタリングを行うことができます。この例では、実行された tar プロセスから書き込まれたすべてのファイルを見ています。データパネルには、さらに次のようなファイル固有の詳細が表示されます。
  • Bytes In
  • Bytes Out
  • OPS
  • Opens
  • Errors
  • Container Name
  • Filename

Sysdig Inspect I/O Streams & Syscall – システム上のすべてを見ることができます



I/Oストリーム機能を使用すると、ファイル、ネットワーク接続、パイプに読み書きされるデータを1バイト単位で確認することができます。必要なデータはすべてそこにあります。もちろん、いつでもSYSCALLSモードに切り替えて、システムコールの一つ一つを見ることができます。

もちろん、Inspectには他にもさまざまな機能があります(ルートキットを解析しているところをご覧ください)。例えば、Sysdig Secure(当社の商用セキュリティ製品)を使用すると、セキュリティ違反に基づき、複数のホストにまたがるシステムキャプチャーをトリガーすることができます。さらに、システムイベントをバッファリングすることで、セキュリティ侵害の発生前と発生後のすべてのシステムアクティビティを完全に可視化することができます。

 

このビジュアルツアーが、より深く掘り下げるきっかけになれば幸いです。Sysdig Inspectを今すぐダウンロードしてインストールするのが一番簡単な方法です。