系统行为新型实时监控技术

I/O、文件I/O、shell操作、数据库操作、telnet操作、http访问、系统调用(syscall)和系统资源信息等系统相关的行为信息实时采集和存储的Linux行为监控技术。

传统监控技术

现有系统行为监控的实现技术主要采用以下方法：

1.Linux Kprobes调试技术

Kprobes调试技术是一种专为Linux内核跟踪和调试而设计的特定API。Kprobes允许内核开发人员为任何内核指令以及函数入口和函数返回处理程序安装预处理程序和后处理程序，这些处理程序可以访问并更改寄存器。这样一来，内核开发者们就可以监控系统调用相关工作流程并簿记。利用Kprobes技术，内核开发人员可以在内核的绝大多数指定函数中动态地插入探测点来收集所需的调试状态信息;关于“调用了哪些系统”、“系统何时被调用”、“执行是否正确以及函数的入参和返回值是什么”等疑惑都可以轻松解决。此外，还能将这些信息屏幕输出或转储日志文件。

2.Linux内核的tracepoints(跟踪点)技术

内核的tracepoint是一种轻量级的hooks技术，使用高效的系统调用行为跟踪及相关性能计算，对系统本身的性能只有微小的时间损失和空间损失。通过注册syscall_enter_probe等定制的probe函数，在发生系统调用相关行为后，内核找到probe函数，并将参数等信息传递给probe函数。只要将probe函数中记录的相关行为信息输出，即可达到监控目的。

在现有的Linux系统行为监控工具中，采用Linux Kprobes调试技术、Linux内核的tracepoints(跟踪点)技术的工具有：strace、ftrace、tcpdump、lsof、htop、iftop、systemTap、perf……

以上的工具通常只能作为日常内核开发调试或日常运维分析工具来使用，主要用于开发调试或问题定位等简单的信息输出。然而，这些工具存在一些使用缺陷，可以总结为以下几点：

1、仅适用于内核开发人员调试使用或是运维人员在现场开启使用，各工具特点不一，难以满足系统全面监控的需求。

2、没有提供行为数据的良好存储能力，只提供简单的输出或是日志存储。由于没有数据缓存功能，容易造成行为数据的丢包，不能很好地支撑事后数据回放或分析。

3、不能进行线上运行的实时部署，只能在事后或事中开启，无法满足运维或安全监控的自动化要求。在高吞吐、高并发的服务器上，增加了服务器运行的负担。

新型实时监控缓存技术方案

针对现有技术无法满足线上实时部署、影响服务器性能、行为数据不具备良好的存储和缓存功能等缺陷，我们给大家分享一种具备实时监控和缓存功能的技术方案。

该方案主要是采用分层结构的模型进行架构的，具体分为内核probe层、基于内存映射mmap技术的buffer层、基于本地数据库的用户态缓存层。具

（编辑：PHP编程网 - 黄冈站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!