真题解析

题目

Task

使用运行时检测工具检测在属于 Pod tomcat 的单个容器中频繁产生和执行的异常进程。

cluster 的工作节点上已预装了两个工具:

  • sysdig

  • falco

使用您选择的工具(包括任何非预安装的工具),分析容器的行为至少30秒,使用过滤器检测新生成和执行的进程。

在 /opt/KSR00101/events/details 中存储一个事件文件,其中包含检测到的事件,每行一个,格式如下:

timestamp,uid/username,processName

以下示例显示了格式正确的事件文件:

01:40:19.601363716,root,init
01:40:20.606013716,nobody,bash
01:40:21.137163716,1000,tar

保持工具原来的时间戳格式。

确保将事件文件存储在 cluster 的工作节点上。

解析

sysdig 官方文档:

https://github.com/draios/sysdig/wiki/Sysdig-User-Guide

sysdig -M 30 -p "%evt.time,%user.name,%proc.name" container.name=tomcat > /opt/KSR00101/events/details

Previous真题环境模拟Next真题环境模拟

Last updated