任務
使用運行時檢測工具來檢測 Pod tomcat123 單個容器中頻發生成和執行的異常進程。
有兩種工具可供使用:
- sysdig
- falco
注: 這些工具只預裝在 cluster 的工作節點node02,不在 master 節點。
使用工具至少分析 30 秒,使用過濾器檢查生成和執行的進程,將事件寫到 /opt/KSR00101/incidents/summary 文 件中,其中包含檢測的事件, 格式如下: [timestamp],[uid],[processName] 保持工具的原始時間戳格式不變。
注:確保事件文件存儲在集羣的工作節點上。
做題
- 找到containerd的sock
crictl info | grep sock
"containerdEndpoint": "/run/containerd/containerd.sock",
- 找到目標container
crictl ps|grep tomcat123
- 通過sysdig掃描容器並輸出
sysdig -l | grep time
sysdig -l | grep uid
sysdig -l | grep proc
sysdig -M 30 -p "%evt.time,%user.name,%proc.name" --cri /run/containerd/containerd.sock container.name=tomcat123 >> /opt/KSR00101/incidents/summary
如果沒檢測到sysdig,就跑這一行:
sysdig-probe-loader