我打算在 aws ecs fargate 中运行 falco,并偶然发现了一个在用户空间中运行的驱动程序 pdig,它可以与 falco 一起使用来检测来自进程的系统调用。
https://github.com/falcosecurity/pdig
我已经构建了这个 pdig 二进制文件并将其移动到我的容器中,并使用我正在运行的工作负载(在本例中为 Squid 代理)启动了 falco 和 pdig。
falco -u --pidfile /var/run/falco.pid --daemon
tail -f /var/log/falco.log &
pdig squid -N -d 1
从这里参考https://github.com/kris-nova/falco-trace我可以让两者都运行,但是每隔 30 秒左右就会出现这个 DEBUG 日志。
Debug Falco internal: timeouts notification. 1000 consecutive timeouts without event. (last_event_time=none)
我似乎无法抑制它。
我有 falco 配置文件有这些参数
log_level: warning
priority: warning
我知道我可以延长连续超时的次数,但这似乎并没有完全删除这个 DEBUG 日志。
这个标志/功能是在 falco 中引入的v0.28.1,我很确定我可以通过使用旧版本来删除这些,但这似乎是一个不明智的决定来禁止这个日志。
感谢是否有人可以帮助我解决这个问题,或者通过“修复”连续超时问题更好地解决这个问题!