Sysdig 简介
Sysdig 官网 上对自己的介绍是：
 
Open Source Universal System Visibility With Native Contaier Support.
 
它的定位是系统监控、分析和排障的工具，其实在 Linux 平台上，已经有很多这方面的工具 strace、tcpdump、htop、iftop、lsof、netstat，它们都能用来分析 Linux 系统的运行情况，而且还有很多日志、监控工具。为什么还需要 Sysdig 呢？在我看来，Sysdig 的优点可以归纳为三个词语：整合、强大、灵活。
 
整合
虽然 Linux 有很多系统分析和调优的工具，但是它们一般都负责某个特殊的功能，并且使用方式有很大的差异，如果要分析和定位问题，一般都需要熟练掌握需要命令的使用。而且这些工具的数据无法进行共享，只能相互独立工作。Sysdig 一个工具就能实现上述所有工具的功能，并且提供了统一的使用语法。
 
强大
Sysdig 能获取实时的系统数据，也能把信息保存到文件中以供后面分析。捕获的数据包含系统的个个方面：
 
•  全方面的系统参数：CPU、Memory、Disk IO、网络 IO
 
•  支持各种 IO 活动：进程、文件、网络连接等
 
除了帮你捕获信息之外，Sysdig 还预先还有有用的工具来分析这些数据，从大量的数据中找到有用的信息变得非常简单。比如你能还简单地做到下面这些事情：
 
•  按照 CPU 的使用率对进程进行排序，找到 CPU 使用率最高的那个
 
•  按照发送网络数据报文的多少对进程进行排序
 
•  找到打开最多文件描述符的进程
 
•  查看哪些进程修改了指定的文件
 
•  打印出某个进程的 HTTP 请求报文
 
•  找到用时最久的系统调用
 
•  查看系统中所有的用户都执行了哪些命令
 
•  ……
 
基本上自带的工具就能满足大部分的分析需求。
 
灵活
Sysdig 有着类似于 tcpdump 的过滤语法，用户可以随意组合自己的过滤逻辑，从茫茫的数据中找到关心的信息。除此之外，用户还可以自己编写 Lua 脚本来自定义分析逻辑，基本上不受任何限制。
 
工作原理
Sysdig 通过在内核的 driver 模块注册系统调用的 hook，这样当有系统调用发生和完成的时候，它会把系统调用信息拷贝到特定的 buffer，然后用户模块的组件对数据信息处理（解压、解析、过滤等），并最终通过 Sysdig 命令行和用户进行交互。