sysdig
[falcosecurity-scap-dkms]. Herramienta de exploración y resolución de problemas a nivel de sistema. Sysdig instrumenta las máquinas físicas y virtuales a nivel de sistema operativo instalándose en el kernel y capturando llamadas del sistema [syscalls] y otros eventos del sistema. Luego, puede filtrar y decodificar estos eventos para extraer información y estadísticas útiles. Incluye las herramientas csysdig y scap-driver-loader
# sysdig
listar todas las syscalls en tiempo real
# sysdig "fd.name=/etc/passwd"
muestra solo los eventos relacionados con el archivo /etc/passwd
# csysdig
abrir un interfaz tipo "top" donde se puede ver procesos, archivos accedidos, uso de CPU... todo basado en los datos capturados por falcosecurity-scap-dkms
# sysdig -cl
listado de opciones disponibles
# sysdig -c netstat
monitorearlas conexiones de red
# sysdig -c httplog
visualización de registros HTTP
# sysdig -c topprocs_cpu
monitoreo de procesos por uso de CPU
# sysdig -c spy_users
monitoreo de la actividad de los usuarios