syslog分析

sysdig架构

Sysdig的体系结构与libpcap/tcpdump/wireshark非常相似。

首先，事件在内核中由一个名为sysdig-probe的小型驱动程序捕获，该驱动程序利用了一个名为（tracepoints）跟踪点的内核组件。tracepoints使得安装从内核中的特定函数调用的“handler”成为可能。目前，sysdig为进入和退出时的系统调用以及进程调度事件注册tracepoints。Sysdig-probe处理这些事件的处理程序非常简单—它仅限于将事件细节复制到共享缓冲区中，并对其进行编码以供以后使用。可以想象，保持handler简单的原因是为了性能，因为在处理程序返回之前，原始的内核执行是“frozen”的。这就是driver所做的一切。剩下的奇迹(magic)发生在用户层面。事件缓冲区被内存映射到用户空间，这样就可以在没有任何复制的情况下访问它，从而最大限度地减少CPU使用和缓存丢失。然后，libscap和libsinsp两个库提供了对读取、解码和解析事件的支持。具体来说，libscap提供了跟踪文件管理功能，而libsinsp包含了复杂的状态跟踪功能(例如，你可以使用文件名而不是FD号)，还包括过