问题标签 [falco]

我目前正在试验 Falco（容器的运行时监控解决方案）。我在 Mac（Catalina v10.15.3）上本地工作，安装了 Helm（v3.1.2），Docker（版本 2.2.0.5（43884））和 K8s 运行（v1.15.5）。

我尝试按照他们的安装页面中的建议使用 helm 部署 Falco ，但我最终陷入了 pod 的崩溃循环。这是我得到的日志：

我环顾四周并没有找到任何线索，所以我冒昧地直接在这里询问，然后再尝试自己编译探针。

你知道如何解决这个问题吗？

当我这样做时，我试图在 ECS 中运行 docker 容器，但出现以下错误。任务定义https://github.com/sysdiglabs/falco-aws-firelens-integration/blob/master/ecs/falco/task-definition.json但对其进行了修改以采用最新的"image": "falcosecurity/falco:latest"

我什至尝试登录实例并运行 docker 命令

我去同样的错误。

操作系统详情

当我以交互模式运行 docker 脚本时，它可以工作。我可以在控制台和 AWS CloudWatch Logs 中看到日志。下面的 docker 脚本以交互模式运行，我添加了 awslogs 配置，因此日志进入 cloudwatch。docker awslogs 配置

但是，一旦我在-d分离模式下运行，所有日志都不会进入 aws cloudwatch

当我在前台模式下运行相同的脚本时，即 no -it 或 -d 也没有日志发送到 cloudwatch。但是当 falco docker 停止时，所有数据都会被缓冲和发送。

当 falco docker 停止时，它将以下内容转储到日志中。理想情况下，带有“错误文件在下面创建...”的日志应该已经到达 CloudWatch Logs，而无需停止容器。

要重现问题，请运行上述之一和另一个终端运行

然后登录容器并运行

更新：

我注意到，当我使用-d -t Logs 运行 docker 以转到 aws Cloudwatch 日志时。知道为什么会这样吗？

我想知道是否有人知道如何识别 Ansible 在远程主机中运行的命令。

为了给你更多的背景，我将深入描述我的工作流程：

• 我在凌晨 1 点到 6 点之间安排了一个作业，它运行合规性 Ansible 剧本，以确保生产服务器配置是最新的并且配置良好，但是，这个剧本更改了文件/etc夹内的一些文件。

• 除此之外，我还有一个 Falco 堆栈，它密切关注生产服务器上的情况，并在发现我描述为可疑的事件时发出警报（它可以是系统调用/网络连接/敏感文件编辑“/etc/ passwd, pam.conf, ...”等...

所以我遇到的问题是，我的剧本触发了一些警报，例如：

我的问题是，我们能否为所有 Ansible 命令设置一个“标志或前缀”，这将允许我将这个前缀标志列入白名单并避免触发我的警报。

PS：在我看来python3，将用户列入白名单root不是解决方案。

我在 EKS 上运行了开源falco，试图弄清楚如何在一个通用问题上为 Windows 编写 Falco 规则 Falco 是否支持 Windows 容器

我正在使用运行时检测工具 Falco 分析容器行为至少 40 秒，使用检测新生成和执行进程的过滤器存储包含检测到的事件的事件文件 art /opt/falco-incident.txt。我尝试将输出结果格式化为每行一个，格式为 [timestamp],[uid],[user-name],[processName]

我创建了 yaml 文件 audit.yaml

我通过添加这 3 行来编辑 kube-apiserver

主要问题是：如何以及在何处定义应如下所示的所需输出？

[时间戳],[uid],[用户名],[进程名]

[时间戳],[uid],[用户名],[进程名]

……

我想问一下 daemonset 路径上的读写设置，为什么当我看到 falco 上的 daemonset 时，对于卷挂载 /docker 或 /container、/lib/modules、/etc/falco 设置为读写而不是只读，是否存在谁能给我解释为什么使用读写而不是只读，是否可以将 falco 放在 openshift 4.X 上，因为 afaik 它使用 /crio ？还有可能将路径上的设置更改为只读吗？

是否可以通过删除 scc 上的几个音量值来运行 falco ？例如，仅将 hostpath 作为 falco SCC 的值，因为在环境（OCP 和 k8s）上只允许访问 hostpath。

如我所见，SCC falco yaml 上的值是：

谢谢

我试图运行一个配置文件来将 Falco 设置为我的后端 webhook。我在尝试运行我的配置文件时收到此错误

这是我的配置文件

如何解决这个问题？

我试图启用 falco 审计规则。[https://sysdig.com/blog/kubernetes-audit-log-falco/][1] 我正在关注此博客以在 falco 中启用 k8s 审计规则。

我正在使用 minikube v1.22.0 Kubernetes v1.21.2。如博客中所述，我在路径 ~/.minikube/files/etc/ssl/certs 中创建了一个审计规则文件和审计 webhook 配置文件。

审计策略.yaml

审计-webhook-config.yaml

我使用这个 cmd 用标志启动了我的 minikube

minikube 启动 --extra-config=apiserver.audit-policy-file=/etc/ssl/certs/audit-policy.yaml --extra-config=apiserver.audit-log-path=- --extra-config=apiserver .audit-webhook-config-file=/etc/ssl/certs/audit-webhook-config.yaml。

但是我的 k8s-audit-rules(falco) 仍然没有显示任何警报。我错过了什么吗？