Task
使用运行时检测工具来检测 Pod tomcat 单个容器中频发生成和执行的异常进程
有两种工具可供使用:
- sysdig
- falco
注: 这些工具只预装在cluster的工作节点,不在 master 节点。
使用工具至少分析30秒 ,使用过滤器检查生成和执行的进程,将事件写到 /opt/KSR00101/incidents/summary文件中,
其中包含检测的事件, 格式如下:
timestamp,uid/username,processName
保持工具的原始时间戳格式不变。
注: 确保事件文件存储在集群的工作节点上。
解答
切换集群
kubectl config use-contextKSSC00401
- 切换到node02 节点
ssh node02 && sudo -i
- 找到container id
crictl ps | grep tomcat
- 通过sysdig 扫描容器30s并输出到指定文件
sysdig -h 和-l 查看帮助 注: 可以使用 sysdig -l | grep time 过滤,确认输出格式字段 sysdig -l | grep time sysdig -l | grep uid sysdig -l | grep proc
开始扫描
sysdig -M 30 -p "%evt.time,%user.uid,%proc.name" container.name=tomecat> /opt/KSR00101/incidents/summary # 如果报错启动模块 sysdig-probe-loader # 如果还是报错,重装下sysdig ,apt install sysdig -y
查看保存的文件
cat /opt/KSR00101/incidents/summary
标签:opt,13,grep,summary,考试题,incidents,CKS,sysdig,节点 From: https://www.cnblogs.com/dagongzhe/p/17485921.html