SYSDIG

README.md

Instalação

sysdig.org

$ curl -s https://s3.amazonaws.com/download.draios.com/stable/install-sysdig | sudo bash

Comandos

Redirecionar a saida do comando para um arquivo

$ sysdig -w nome-do-arquivo

lendo um arquivo gerado pelo sysdig

$ sysdig -r nome-do-arquivo

Redirecionar a saida do comando para um arquivo compactado (-z) e com limite de bytes (-s)

$ sysdig -s 4096 -z -w nome-do-arquivo.gz

Nota: para ler um arquivo compactado, também é utilizado a opção -r

[Filtros/Chisels] Listar todas as chisels

$ sysdig -cl

Utilizando chisels

$ sysdig -c topproc_cpu

$ sysdig -c bottlenecks

Obtendo informações sobre as chisels

$ sysdig -i nome-da-chisel

Listar todos os filtros

$ sysdig -l

Utilizando filtros com chisels

Filtrando os processos que consomem mais processamento na CPU 0 (caso a maquina tenha mais de um, pode usar 1,2...)

$ sysdig -c topprocs_cpu evt.cpu=0

Analisar um processo chamado 'cat' ou chamado 'vim'

$ sysdig proc.name=cat or proc.name=vim

Quais arquivos possuem mais leitura e escrita

$ sysdig -c topfiles_bytes

Quantos arquivos um processo esta usando

$ sysdig -c fdcount_by proc.name 'fd.type=file'

Monitorar se um arquivo esta sendo alterado

$ sysdig -A -c echo_fds 'fd.filename=nome-do-arquivi'

Ler o que foi gravado em um arquivo(compactado ou não), e utilizar chisel com filtro, buscando tudo que foi feito pelo usuário 'armando'

$ sysdig -r nome-do-arquivo.gz -c spy-users "user.name=armando"

Fonte: YouTube:LinuxTips