关于sysdig-inspect

sysdig-inspect是一款用于容器故障排除和安全调查的开源工具，该工具可以帮助我们针对目标容器快速执行安全解析。

sysdig-inspect是一个功能强大的开源接口，该工具的用户界面旨在直观地浏览数据密集的 sysdig 捕获，其中包含 Linux 系统的精细系统、网络和应用程序活动。Sysdig Inspect 可帮助您了解趋势、关联指标并大海捞针。它配备了旨在支持性能和安全调查的功能，并具有深度容器自省功能。

工具安装

源码获取

广大研究人员可以直接使用下列命令将该项目源码克隆至本地：

git clone https://github.com/draios/sysdig-inspect.git

Docker安装

sysdig-inspect可作为 Docker 容器映像使用：

docker run -d -v /local/path/to/captures:/captures -p8080:3000 sysdig/sysdig-inspect:latest

Sysdig Inspect 将在您的浏览器中通过http://localhost:8080访问。

可执行程序

MacOS 安装程序：https://setns.run/install-inspect

Windows 安装程序：https://setns.run/install-inspect-windows

Linux 安装程序（RPM 版本）：https://setns.run/install-inspect-rpm

Linux 安装程序（DEB 版本）：https://setns.run/install-inspect-deb

工具使用

首先，我们需要使用sysdig在Linux设备上捕捉目标系统事件数据：

sudo sysdig -w filename.scap

然后使用sysdig-inspect对捕获的文件执行安全审计与分析。

工具运行演示

概述信息仪表盘

概览页面提供了捕获文件内容的即用型概览摘要。内容以图块形式组织，每个图块显示相关指标的值及其趋势。图块按类别组织，以更清晰地显示有用信息，是调查和深入研究的起点。

相关趋势指标

您可以深入查看任何图块以查看其背后的数据并开始调查。此时，您可以使用时间线来限制所看到的数据，也可以通过双击任何数据行进一步深入查看。您将能够看到进程、文件、网络连接等等。

数据挖掘与分析

您可以深入查看任何图块以查看其背后的数据并开始调查。此时，您可以使用时间线来限制所看到的数据，也可以通过双击任何数据行进一步深入查看。您将能够看到进程、文件、网络连接等等。

Payload和系统调用可视化

读取或写入文件（假设--snaplen在创建捕获时使用了适当的参数）、网络连接或管道的每个字节数据都会记录在跟踪文件中，并且 Sysdig Inspect 可以轻松观察它。您是否需要排除间歇性网络问题或确定恶意软件写入文件系统的内容？您需要的所有数据都在那里。当然，您可以随时切换到 sysdig 模式并查看每个系统调用。

许可证协议

本项目的开发与发布遵循GNU开源许可协议。

项目地址

sysdig-inspect：【GitHub传送门】

参考资料

https://github.com/draios/sysdig