问题标签 [falco]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
kubernetes - 在 falco 中启用审计规则
我在我的 minikube 集群(v1.22.0 kubernetes v1.17.17)中使用 helm 安装了 falco。falco 运行良好,并在 falco-rules.yaml 中显示默认规则的日志,但是当涉及到 k8s 审计规则时,即使在做违反规则的事情时也不会显示任何日志。你能帮助如何在 falco 中启用 k8s 规则吗?
docker - docker compose 上的 Falco 安全性和 falcosidekick
我正在尝试在docker compose中运行falco和falcosikick容器。
我将 falco.yaml 配置为将 http_output 发送到 falcosidekick 容器:
然后我将松弛配置添加到 falco.yaml
使用这种配置,我的 slack 频道从未收到警报。怎么了?
谢谢
amazon-web-services - Falco 输出 aws 实例元数据
我用 docker compose 运行 falco 和 falcosidekick,没有 k8s。
我需要将 aws 实例元数据检索到 falco 规则输出。我找到了 jevt 字段类,但在 falco 容器启动时遇到错误
这是我的规则:
我能怎么做?谢谢
amazon-web-services - 使用 pdig 运行的 Falco 提供了无法抑制的 DEBUG 日志
我打算在 aws ecs fargate 中运行 falco,并偶然发现了一个在用户空间中运行的驱动程序 pdig,它可以与 falco 一起使用来检测来自进程的系统调用。
https://github.com/falcosecurity/pdig
我已经构建了这个 pdig 二进制文件并将其移动到我的容器中,并使用我正在运行的工作负载(在本例中为 Squid 代理)启动了 falco 和 pdig。
从这里参考https://github.com/kris-nova/falco-trace我可以让两者都运行,但是每隔 30 秒左右就会出现这个 DEBUG 日志。
我似乎无法抑制它。
我有 falco 配置文件有这些参数
我知道我可以延长连续超时的次数,但这似乎并没有完全删除这个 DEBUG 日志。
这个标志/功能是在 falco 中引入的v0.28.1,我很确定我可以通过使用旧版本来删除这些,但这似乎是一个不明智的决定来禁止这个日志。
感谢是否有人可以帮助我解决这个问题,或者通过“修复”连续超时问题更好地解决这个问题!
falco - 是什么导致规则反复触发?
我使用 minikube 创建了一个本地测试环境来测试自定义 falco 规则。
目标是在命名空间和 pod 名称中搜索关键字,并为其设置 Info 优先级,以便可以在 Kibana 中过滤掉它们。
以下是我编写的自定义宏和规则:
我已经创建了命名空间和 pod 来测试规则,它们会在我期望的时候触发(例如,当 falco 启动时,当我生成 shell 或与 pod 交互时)。
但是,警报会反复触发,有时一次有数百个,因此当我 grep 日志时的输出类似于此示例。
出于好奇,当不同事件发生时,我计算了不同规则警报的行数,并注意到它们并不相同。见下表:
| 事件 | 命名空间规则已触发 #: | 已触发 Pod 名称规则 #: |
|---|---|---|
| 启动 | 6 | 4 |
| 产卵壳 | 106 | 55 |
| 适当的更新 | 943 | 23 |
| 安装 wget | 84 | 26 |
我能想到这些规则会被多次触发的唯一两个原因是
- 我写错了规则,或者
- 后台发生的事件(不是我直接触发的)导致规则重复触发。
我相信 2 的可能性更大,但如果任何人能够确认我写的规则看起来不错或有任何其他见解,我将不胜感激。