真题解析

使用运行时检测工具检测在属于 Pod tomcat 的单个容器中频繁产生和执行的异常进程。

cluster 的工作节点上已预装了两个工具：

使用您选择的工具（包括任何非预安装的工具），分析容器的行为至少30秒，使用过滤器检测新生成和执行的进程。

在 /opt/KSR00101/events/details 中存储一个事件文件，其中包含检测到的事件，每行一个，格式如下：

timestamp,uid/username,processName

以下示例显示了格式正确的事件文件：

01:40:19.601363716,root,init
01:40:20.606013716,nobody,bash
01:40:21.137163716,1000,tar

保持工具原来的时间戳格式。

确保将事件文件存储在 cluster 的工作节点上。

sysdig 官方文档：
https://github.com/draios/sysdig/wiki/Sysdig-User-Guide

sysdig -M 30 -p "%evt.time,%user.name,%proc.name" container.name=tomcat > /opt/KSR00101/events/details

Last updated 1 year ago