sysdig err: error opening device /dev/sysdig0. Make sure you have root credentials and that the sysdig-probe module is loaded.

参考： https://github.com/draios/sysdig/issues/763

yum install ${对应的内核}

sysdig-probe-loader

之后sysdig is ok

sysdig::scallslower::wait4

参考:http://blog.sina.com.cn/s/blog_65bda7120100kjxx.html

wait3和wait4函数除了可以获取子进程状态转变信息外，还可以获得子进程的资源使用信息。

    pid_t wait3 ( int *status, int option, struct rusage *ru );

    pid_t wait4 ( pid_t pid, int *status, int option, struct rusage *ru );

   option的可选值有：WNOHANG、WCONTINUED、WUNTRACED。

   wait3等待所有的子进程；wait4可以像waitpid一样指定要等待的子进程：pid>0表示子进程ID；pid=0表示当前进程组中的子进程；pid=-1表示等待所有子进程；pid<-1表示进程组ID为pid绝对值的子进程。

   通过ru指针可以返回子进程的资源使用情况。

sysdig ::scallslower::futex

参考: https://blog.csdn.net/Javadino/article/details/2891385

要解决的问题:

Futex按英文翻译过来就是快速用户空间互斥体。其设计思想其实不难理解，在传统的Unix系统中，System V IPC(inter process communication)，如 semaphores, msgqueues, sockets还有文件锁机制(flock())等进程间同步机制都是对一个内核对象操作来完成的，这个内核对象对要同步的进程都是可见的，其提供了共享的状态信息和原子操作。当进程间要同步的时候必须要通过系统调用(如semop())在内核中完成。

可是经研究发现，很多同步是无竞争的，[popexizhi:这种研究如何做呢？比较感兴趣，这个是推动改进的真正动力，也是看设计的效果真正有效反馈]  即某个进程进入互斥区，到再从某个互斥区出来这段时间，常常是没有进程也要进这个互斥区或者请求同一同步变量的。但是在这种情况下，这个进程也要陷入内核去看看有没有人和它竞争，退出的时侯还要陷入内核去看看有没有进程等待在同一同步变量上。

这些不必要的系统调用(或者说内核陷入)造成了大量的性能开销。

为了解决这个问题，Futex就应运而生，Futex是一种用户态和内核态混合的同步机制。

首先，同步的进程间通过mmap共享一段内存，futex变量就位于这段共享的内存中且操作是原子的，当进程尝试进入互斥区或者退出互斥区的时候，先去查看共享内存中的futex变量，如果没有竞争发生，则只修改futex,而不用再执行系统调用了。当通过访问futex变量告诉进程有竞争发生，则还是得执行系统调用去完成相应的处理(wait 或者 wake up)。

简单的说，futex就是通过在用户态的检查，如果了解到没有竞争就不用陷入内核了，大大提高了low-contention时候的效率。Linux从2.5.7开始支持Futex。[popexizhi: 自己想的类别，把查询是否有同步竞争的查询，从内核态拿到了用户态，可以直接查看了，这样就把”多数无同步竞争“的实验事实使用上了。]

2. Futex系统调用
Futex是一种用户态和内核态混合机制，所以需要两个部分合作完成，linux上提供了sys_futex系统调用，对进程竞争情况下的同步处理提供支持。

---------------------------------------------------------------------------------

 

参考:https://blog.csdn.net/fpcc/article/details/84483954

3、futex的特点

基于上面的种种不便，“物不平则鸣”，牛人们（Hubertus Franke, Matthew Kirkwood, Ingo Molnar and Rusty Russell，无一不是大神啊）创建了futex。这玩意是贯通内核空间和用户空间的一把利器。看看它的中文意义“快速用户空间互斥体”。意味着，快。 
Futex是怎么突出这个快的呢？在同步的线程间，开辟一段共享内存（mmap）, futex的变量保存在这段共享内存中，当线程进入（退出）同步区域时，先查询共享内存的中futex变量，如果竞争没有出现，就只修改futex状态，不再进入内核空间调用。反之，还得进入内核控制wait(wake).这样，通过一小段共享内存在用户空间的检查，就极大的避免了不应该进入内核的陷阱。自然，在低频率竞争锁时，效率被大大提高了。 

要解决的问题:

在早期的Linux系统中，多线程的同步分为两种机制，即内核空间机制和用户空间机制。在用户空间进行同步，首先需要使用原子指令将代码锁住，如果利用atomic的原子机制编写过代码，可能这些就很好理解了。 
这里举一个比喻，就好像一个高速的循环，不断的去查询一个标志（可以理解成一个整数：0表示没被锁上，1表示被锁住），所以这个又被形象的称为自旋锁。这时候，CPU是被独占的，如果长时间的CPU被独占，可想而知结果会是如何。所以使用这种机制是有一些限定要求的： 
临界区代码尽量控制在100行以内。 
不要调用系统函数（read等），调用其它函数也应尽量短小。 
不要有大循环，不要有类似sleep动作。 
大的内存复制时，memcpy等函数不建议使用。 
而在内核空间中，实现同步机制和用户空间中没有本质的区别，同样也是类似的使用原子指令操作，正是基于此，内核实现进程的等待和睡眠等功能。 

sysdig -c proc_exec_time eg

 

case 2

可以使用grep过滤执行

测试一个curl 有两个统计结果

最后那个和time的测量是一样的，这个说明是后面是全部的使用时间，而第一个是入口到下一次调用的时间吗？猜测

这个命令有个问题，没法使用pid统计，这样的统计中间过程不太好控制吧？

• eg:

  使用过程

  ]# sysdig -c proc_exec_time |grep curl

  107ms         curl         www.xa.com

  175ms         curl         www.xa.com

  104ms         curl         www.axad.com

  2.29s         curl         www.axad.com

  对应的测试

  # time curl www.axad.com

  real    0m2.299s

  user    0m0.003s

  sys     0m0.005s

sysdig -c echo_fds case3

 def-case

• 某个文件的被改写，可以使用 sysdig -c echo_fds "fd.filename=${filename}"

  这里可以看到，修改的此文件的进程，如下：前两个是bash添加的，最后一个是用vim处理的

  ------ Write 2B to   /root/test/qSort/n.go (bash)

   .

  ------ Write 4B to   /root/test/qSort/n.go (bash)

   xx.

  ------ Read 4B from   /root/test/qSort/n.go (vim)

  case 2

  • sysdig -c echo_fds fd.pid=1984  #查看指定进程的全部通信数据，这里是全部，如下：

    这里有1984 pid的直接通信数据sshd的，也有其调用底层的/dev/ptmx

    数据例子

    • ------ Write 4.04KB to   192.168.80.29:56795->192.168.100.121:22 (sshd)

      F....1.).A9T}R.R.f....\.{|..^.A.J..e...f|Fr..m..[....S.,!.....Zz...xRk........H..o.q..6.=l4...t........s.+.8[R.....^.<S.U#o....H......j.e. ...c_..^.Z.b..+z....{.N.a.4..2....cn]......]...........)E.c..c.?(...@.xIx."................%..S.m.S.. .e.&3.}.Y.....c..o..g..".-O3.u..e...*m#.W...+.J...L:..&.T}.q..z.v.C...z.6P......^@O.Bd..k..'Y....X.R......V......>...w6.Et}....#..G.3.O.0.....,SI).W=.R...g..Njp**.....w@%K....Y...,>.S..=..c..y.%}d.>K..........->....q..2j.......b.~.... ...tKTJ..q.j(...;N..qv?WL..C.....H..q&.P..o:....O..$...Cp..B..Ei...2@...}...c....z.......E.f....bb.56....h.i Z.os1..vu.Z...G...U.)....\.>:..NcO..........}4.,.......i...4..I.WP....v......i.~......s...-.6%....jv...../...I.k[-..N...A...,b#8.`.*.....(C<...p.....Q.....*....:.E.,.+Z......i...5.B...z..A.`..V.x.$......[..............;.a.......V....................a{.. .MG.D...Sw...$e....GL..p=@p..j.7}...!.5.A.>B.I...$....gh........./..t.4....H..d....?..Z%.$#..A..z8[..y.......g.V...G.....L|B.o....J.#....EeA...F....E[...z.r.M.D.N....I.....5...........'.!....e.+...P...}....L..$W.<..g..>....N...Y..O...9...aSM....r&z.sV..a....h...`..../.].X.].%f.CX^.x1.K0.....p.F..4.~I.._....(..<jE....d....3..i}.........-.%2/hH .EJ;.y..@S.....rZ..e..........c..$e.\....(8.......EY.%..`#.$.....g.x...&..c.......gV..l3.N4..@.|....R.../..8{.....!*.yu_5.=m..j.\..,..W8D...Q8.P.mA..k./Z}....4..^..C....nP"q...g....`....]m~...h..pXPi.$.20..p..c........0.vZUFU..s....s...o...sR.LJ...w..\.<.I.1..=].f....>.O(.}==.X.>.b.,._....M~.......T.../..O.y..Q......u......y......ja?).l~.....m........U.5.....i;f..~.Q........`r..3......CqX..I\.2.13.:v......<.7...lo.)............s.z.....Q..............3'...`.....a.du)..(.d;y...q.k.p.....r...E7Cklo.n.H=._..us@../....0]......a...em.....8..E.......C&U*]..e.......^NA\cI:Q.P...g...GOWh.........pzEJ.\..8N...P.E..h.*{.@/........c[&.5....%+.I....,.f.cC...CC:.IM.e:.m....U3....u...,op.....:......i.5].....D7...y9....}.m68.UY.9..u.D...lX..8...1Xu...&z^.2R*....s.a...V.+=r;..$.@.G.E.\f.H%...r!...+.i..z.#......9..y..;I.5G

      ------ Read 2.13KB from   /dev/ptmx (sshd)

      ....d../z.K...&^.$.pK%.K..tm..B....~..*#.....r...K..?.My....*%..Zf]...T.w....Q....Vx....\..R......i...[34m------ Write 4.04KB to  .[34m 192.168.80.29:56795->192.168.100.121:22 (sshd)...z.x.Wa...O...RLe..\A.4.D(_s4{.4......F...,...1.cw..:P...e..jO...&.Pv.7.1-.m...O.QY....t....DVcj......C.<.h..Z.....$.P.........A.[-6.w.[...f.@Q...'.=..e..g...k.(..R.......w...3.96......f....M\..?&qtK#h.&..m...=...3..)B[$...|..mg..w]...N!$...D.d.D@u/M......B..kCn...E|..#.......6..R..Q.~`.].P.ex.k../u.. ....E.Q..c.x\.....].@U......#nO`w[mz..w&..[..Ot.......&-..'_u........YO...e....<7..X......I....f.\......{a..$..0..9....[...c..GXk.R*........y@P..;0~E.7.._..#..E... u................Pak.R...?.u%.E....+vs..T8.L.xt......e9....h4'[+.........L....c..t...!Q..l..n(..B..2.L-j..G.9.80..Y....~a...( z..*...#.".v.............)..v.V..Q..'..=.......C.=."..%......e..k:....0?...%..Z.....?....JW...%....'XB86.h}......K.1e..:...7Uw..ZX.OA.I.A..-.4o..RE.........N.-";l_...U1....?D;0V.j..0.4..?.......L.q..iJ.]8......A...W....{.)q.5...J.../...4...>.lK.....~....Z..-..aw..x......W.o...e..(~...c..j.F....K....Q.............w9..<w.~...7.=.aT..x.O......9...."9..K7.=. .[t)h.Gv..]........n..].*.T.......W..r<..l....o51.[.%?.f:_..7.........AxE...)Q.GS]Ab..pT.......o........aF..h.,.r.....+..e4..........KrY..r. [.^..[]..G/.u..$.E'H...OQp...^.......{#I....5~..R...vt`.z:....yH..X[P..6...X.........P...0Z...%.."O0...jD1...K..V.r.....a........G.c!.....}.jp.FlS.'......\.....Ja.a_.....t.......{S.4.......>.V.. J.D.o.M..U.l..l-.e0.]<1. .k......[.......a.........[\. |..y..@....biEE7=...;"*.]..g..../.Uq...... ....'S........*D.\Wv..Q...)..4..'(..................|:..o...K...!.....5.h,.X%............D.?b...X...2C......rV.......S...+U.?..;E&.>m.....M...%.[.Q.6....0.td.f..ty....G.M.%..w....=......#LDz...S.?......F.0..;.y.....p<..I..N...x~.B...L.-...X UL.|.,.G..S....l.d/.!.U3BQ_=..."...s.#!..8..B}.'u.C.....y..1....QC_...*...E3.._..E...Q.g.Yl...|....A=,......D.H.....a..k$...(..^R%.M...U..I..K~........u.....q.....?.....#-K..j......y.5....4w&

      ------ Write 4.04KB to   192.168.80.29:56795->192.168.100.121:22 (sshd)

      ..s.b..BKb....&S@.p.@Y..\.4..:g........QCp..RIW.........;.C............+.0e..cJ...T.t?K>.5V.11..u=i .{..bZ...T.{.y.m.....Z..0A.<.......v5C.........m.....L...B...6./.....m6G...t...S.....R......b1..F.._.....NG.\..[(.i..e)...0.=...o.(.r.g!...<.F..e.2..z...R..>...~Z.V.F.P1........f.,..1..#w..jn..0A... ;.V.ab.:E.Z.n.../......e3...U..H..<...J.....r.x /.......7S}......U..[..;.6.V9t9..v.../..#..j ....+V\....62;h.......xOs.Pxt...X.dO...`.D.....W.N...'Sv..t..!K.......y.{.4.`.i)l^.....v$..X....fU.....3.o....L0.........M..........'..+O..T.Z..~.../.A\...J|..L...$.W>....-..'r......d]z...NL....*..j...@<...!K......@j....lt.....J=EK.k........x.3.hKZ.c.gCx ....%:i./@*..y...ugC..8.8.k...N.@8Z<..n..w.....+.c.Dy..x.]P.............8...H...BSo*.].....'S.X.........m..cf<../...I=.U......Q.\|.,..k....)&.]N...m.......:...=...r..bq.%.{...]..a.......k=D...%...-.jR..!.&p.f.3........>&lV..P.*.]0...}..?..__fO~..>V...Q#^..G..N....,V%'.....v...,.......|...q....lzBAm,.*.......c....8..\.r...P.....c..d~.Gd.A.wdZm.......:.....%U........m....JQSO3^C..ovOF.k.,....W.a5..%i.U.3.o{.H..fx.Hn...*H...%.....!...zP.!$........k..O..O......$...k.`.......Z...x....Y.B.....@...`.e....O..X8e.......\.`...X4.PD...*.....B!(....%..g...M..){M...3..'.K.|t..*u......_...spR....=m.y&u.q.w.......9....2.......sT..F....w. ..bJ&.......8.h...s#g....*...........z?...a..._...f..p...B.j..g....!.r..(........R.R....*.`..X...d...."HN:.p...ym%...j.X....i9.........*w.....jV?.. .......u....4.......N..c4.........J.w..Z.i..o...X\..A...$..?.9..H...4dJ........\x..j...z..qt.....z.....=...{uk.u6[[...`.ob.$F......."\..}.K+.E..Xb#+.~.vU....4'..G.. u.....m...#.!.(..y..z..$...n...3eu#G9..a(..6?LtZ.B9.S...H.....%;xy.3X.=2^u...V...t.WvX!...b.%c........i/..u.....8..{(H..."B.EuCT.D......t..t.?......-<....s.s0.p...QHRf6~vlW.58[....8I..^..~..sm..b...o?.....U./..@...?...g.....:.c(...s.i...Q.Q....4...~7y............H.k......=[^!Q.........Z.\(.....|..[a..^aR..<D?..3...}. ..rg...|L...I.*..b.}W...`..~:K..`.......t..../..C...T..c..xc...3.5...+..q....q;...#.'F.YQ~.8

  case 3

  • 查询指定端口的通信数据 sysdig -c echo_fds fp.port==49188

    不止打印了端口的传送数据，还打印了端口中使用的命令和调用进程在本地的执行结果

    如下：

    数据例子

    • ------ Write 4.05KB to   192.168.100.129:49188->192.168.100.121:22 (sshd)

      .K.2.(.Tz.;q....fc.....J c.D4........7i.@.':.*.v.&/....P...d..aK..........sOv...X...}......A..$..2.....#.u5.#._....e#..`..3......J.7."=.....(..k6..)~c3.N.{..`..P.hXam.&........$..f.tn:......./..G....W@.......=?`..#...n>6.U...+.#.x0B."h..3i.u..*a...&|6..`..G]....]........\.v_r..#....C...95.}.#..=..d"W...^...).....`.q.......n-l....7E....9..EG/=&v...$6...{y...y.{....(....~..n......6c...vc.&^?..o..h1.........1Fz...o...OG.[.a......H.|.8.(..../Z6-....?u......I.{..c... "........:.{bJN..[..Y...P.....$.~Y.........t%...E+.Mn....&.^s..#.....[.H..b._.|.a..5....c.sj...-.t.F.eI.8J4mR]..,...1.k2..1..Y.(s.I.....&"....%a.5.h..cB-..Jk./........gP.=%........$\;x....$k.....il..l.A.S.ZXk.]C.....P0'.......V...d>5fR..;...h:...yW.L.$...J.7..X.".YEd2.3&.+<._..-.(..Q.s..|.......<...s.~.....(C..l~u...H...wU<Z..."|.w.f....."g-q.Vy..l..zr..sf@4.4.V*c.c.....s.....a^.>.^y..2..R...x.......Yr...:j.f9O!....Q.KN.r.....FT..*e.u...t..JH.k.:W......6.0......0g..........Zqh(..q.@=.+)x.y>.)...xy.}.`C...........W....La..&...S.@....FS2....[s.\....K^a.K..a....M....... .,..5[..n...?i...\.M.D.K.T........A..G..x....ix(.A.F.S...X....ln?$c.F...~.TAFBb..N....!..1..aK.t...}.......E.tqk<Vj.,>?...../p.{....`....Kd<H`"f.. w...ds...............E7..q......A.X.+L.nW.M,.."..S.j........WS.....d....T......_..U..>0-3.....2*.\.p....e@..}.R;h.)....s..o..............F.*.b&.i-....~..I.}5..tsF...c..%..qu..0.?.g...J...ea..bF.Et....E.z..".,hW7....I!.A..-.~..-.]....9)9..J+..'K..h...^j.9....A...../.+.u.OD_CR...k.PM..;y.x.r*O.b.Qf6Um.....i8..%\.>...<I*-<V.-..D.&.....W....k#...W.sG..~..*[;t.9.......Lb.ik...8.t... i.L...L*.....|+CqpT....fT.0.ko.u-....!...0.bb........D..p.k......?......?.S.2...f.9.........U...U.>A....l.be.S...m..>.8........T....d.>.?p<...#..p.bw.....D...)CR....^e.s..t....6......F.......f......?d}B.~y.7..m..<x...1...`.3%5.sq0.>.r............YX.L.B..f.ye+PC..t...k'..0.B@.\?.......S9.-.$.o.j^L..4..J9..D..#.........._~}.9u.t......_.)..&.gtZ..7.*`.......B...PN..s..ys.c.w....z.i..N_d...~{.u..OJn.........#'...B....,..|...!g...pT

      ------ Write 400B to   192.168.100.129:49188->192.168.100.121:22 (sshd)

      4f..18u.6....):.6.e.'..s...+....st..A#...a.Bk.._..../2R..=........X....z........o.....3.K{k..Z....Z...|....._........."W.{}.f}..zz.......*..+.k..|.l...j.[.\..X&!....f<.........y.,...Uf`n|..G...M#..E...s.....wp.....+.......?.&.9......8.(|?...s..-...5...nr8.u...]...9j}....3...O...|......D..".......Aj....m.".H0S.~.`$....%y.<...J:......M..T..F...a.?"'...z...{.?..^.K`.s....>-9.....pdtM...g...kF..X.d.,v

      ------ Read 900B from   /proc/358/status (ps)

      Name:.scsi_tmf_5.Umask:.0000.State:.S (sleeping).Tgid:.358.Ngid:.0.Pid:.358.PPid:.2.TracerPid:.0.Uid:.0.0.0.0.Gid:.0.0.0.0.FDSize:.64.Groups:..Threads:.1.SigQ:.0/64090.SigPnd:.0000000000000000.ShdPnd:.0000000000000000.SigBlk:.0000000000000000.SigIgn:.ffffffffffffffff.SigCgt:.0000000000000000.CapInh:.0000000000000000.CapPrm:.0000001fffffffff.CapEff:.0000001fffffffff.CapBnd:.0000001fffffffff.CapAmb:.0000000000000000.NoNewPrivs:.0.Seccomp:.0.Speculation_Store_Bypass:.vulnerable.Cpus_allowed:.ff.Cpus_allowed_list:.0-7.Mems_allowed:.00000000,00000000,00000000,00000000,00000000,00000000,00000000,00000000,00000000,00000000,00000000,00000000,00000000,00000000,00000000,00000000,00000000,00000000,00000000,00000000,00000000,00000000,00000000,00000000,00000000,00000000,00000000,00000000,00000000,00000000,00000000,00000001.Mems_allowed_list:.0.voluntary_ctxt_switches:.2.nonvoluntary_ctxt_switches:.0.

      ------ Read 174B from   /proc/359/stat (ps)

      359 (scsi_eh_6) S 2 0 0 0 -1 2138176 0 0 0 0 0 0 0 0 20 0 1 0 111 0 0 18446744073709551615 0 0 0 0 0 0 0 2147483647 0 18446744073709551615 0 0 17 4 0 0 0 0 0 0 0 0 0 0 0 0 0.

      ------ Read 900B from   /proc/359/status (ps)

      Name:.scsi_eh_6.Umask:.0000.State:.S (sleeping).Tgid:.359.Ngid:.0.Pid:.359.PPid:.2.TracerPid:.0.Uid:.0.0.0.0.Gid:.0.0.0.0.FDSize:.64.Groups:..Threads:.1.SigQ:.0/64090.SigPnd:.0000000000000000.ShdPnd:.0000000000000000.SigBlk:.0000000000000000.SigIgn:.ffffffffffffffff.SigCgt:.0000000000000000.CapInh:.0000000000000000.CapPrm:.0000001fffffffff.CapEff:.0000001fffffffff.CapBnd:.0000001fffffffff.CapAmb:.0000000000000000.NoNewPrivs:.0.Seccomp:.0.Speculation_Store_Bypass:.vulnerable.Cpus_allowed:.ff.Cpus_allowed_list:.0-7.Mems_allowed:.00000000,00000000,00000000,00000000,00000000,00000000,00000000,00000000,00000000,00000000,00000000,00000000,00000000,00000000,00000000,00000000,00000000,00000000,00000000,00000000,00000000,00000000,00000000,00000000,00000000,00000000,00000000,00000000,00000000,00000000,00000000,00000001.Mems_allowed_list:.0.voluntary_ctxt_switches:.22.nonvoluntary_ctxt_switches:.0.

  后两个例子中是从pid或者端口入手，打印了全部的进程的数据的input和output

sysdig-echo_fds

 echo_fds

• eg：

  #网络通信

  sysdig -c echo_fds fp.cip=192.161.1.1 # 指定监控当前主机与192.161.1.1的全部通信数据

  #I/O

  sysdig -c  echo_fds "fd.filename=log"  

  #过滤全部文件名称为log的io读写内容 ，

  - 这里和spy_file的区别是echo_fds 只指定文件名称（可以不同路径的这个文件名称全部可以监控） ，而spy_file的参数是绝对路径的文件

  #进程和监控端口复合使用

  sysdig -c echo_fds proc.name=nginx and fd.port!=18081 #监控不是18081端口的nginx进程访问

sysdig -c 脚本-spy_file

 

spy_file

• 默认无参数可以监控全部的文件读写操作

  如果单独制定全部文件读或写如下：

  sysdig -c spy_file 'W'

  sysdig -c spy_file 'R'

  如果单独制定某个文件（要绝对路径）读或写如下：

  sysdig -c spy_file 'R /root/ta.pcap'

  sysdig -c spy_file 'W /root/ta.pcap'

sysdig-scallslower

参考: https://github.com/akshithg/sysdig-chisels/blob/master/scallslower.lua

scallslower.lua - trace the syscalls slower than a given threshold.

USAGE: sysdig -c scallslower min_ms

   eg, 

        sysdig -c scallslower 1000    # show syscalls slower than 1000 ms. "

测试效果: 【popexizhi: 效果不错】

methont]# sysdig -c scallslower 10000

evt.datatime            proc.name               LATENCY(ms)          evt.type

----------------------- ----------------------- -------------------- --------------------

2020-08-27 20:21:01.987 containerd              12973.707782         futex

2020-08-27 20:21:01.992 sshd                    10639.093906         select

sysdig &spy_users

 参考:https://www.tecmint.com/sysdig-system-monitoring-and-troubleshooting-tool-for-linux/

#spy_users 获得当前活动用户的命令交换，以下是root和test用户的测试记录

sysdig -c spy_users  

31037 20:25:38 root) /usr/bin/id -un

31037 20:25:38 root) /usr/bin/hostname 

31037 20:25:38 root) ls /etc/bash_completion.d

31037 20:25:38 root) uname -o

31037 20:25:38 root) pidof glusterd

   31037 20:25:38 root) pkg-config --variable=completionsdir bash-completion

31037 20:25:38 root) /bin/sh /usr/libexec/grepconf.sh -c

   31037 20:25:38 root) grep -qsi ^COLOR.*none /etc/GREP_COLORS

   31037 20:25:38 root) /usr/bin/tty -s

   31037 20:25:38 root) /usr/bin/tput colors

   31037 20:25:38 root) /usr/bin/dircolors --sh /etc/DIR_COLORS

31037 20:25:38 root) /usr/bin/grep -qi ^COLOR.*none /etc/DIR_COLORS

   31037 20:25:38 root) /sbin/consoletype stdout

   31037 20:25:38 root) uname -m

31037 20:25:38 root) /bin/grep -q /usr/lib64/qt-3.3/bin

   31037 20:25:38 root) /usr/bin/id -u

31037 20:25:55 root) ls --color=auto

31037 20:26:03 root) cd /root/test

31037 20:26:06 root) who 

31037 20:26:23 root) who 

31037 20:26:28 root) whoami 

31037 20:26:46 root) su test

   31037 20:26:47 test) bash 

            31037 20:26:47 test) /usr/bin/id -gn

            31037 20:26:47 test) /usr/bin/id -un

            31037 20:26:47 test) ls /etc/bash_completion.d

            31037 20:26:47 test) uname -o

      31037 20:26:47 test) pidof glusterd

            31037 20:26:47 test) pkg-config --variable=completionsdir bash-completion

      31037 20:26:47 test) /bin/sh /usr/libexec/grepconf.sh -c

         31037 20:26:47 test) grep -qsi ^COLOR.*none /etc/GREP_COLORS

            31037 20:26:47 test) /usr/bin/tty -s

            31037 20:26:47 test) /usr/bin/tput colors

            31037 20:26:47 test) /usr/bin/dircolors --sh /etc/DIR_COLORS

      31037 20:26:47 test) /usr/bin/grep -qi ^COLOR.*none /etc/DIR_COLORS

            31037 20:26:47 test) /usr/bin/id -u

      31037 20:26:52 test) ls --color=auto