ഫാൽക്കോ പതിപ്പിന്റെ ഡോക്യൂമെന്റഷൻ ആണ് നിങ്ങൾ കാണുന്നത്: v0.30.0

Falco v0.30.0 ഈ ഡോക്യുമെന്റേഷൻ സജീവമായി പരിപാലിക്കപ്പെടുന്നില്ല. നിങ്ങൾ നിലവിൽ കാണുന്ന പതിപ്പ് ഒരു സ്റ്റാറ്റിക് സ്നാപ്പ്ഷോട്ടാണ്. ഏറ്റവും പുതിയ ഡോക്യൂമെന്റഷന് വേണ്ടി latest version.

ശീർഷകംവെയ്റ്റ്
സാമ്പിൾ ഇവൻറുകൾ ജനറേറ്റ് ചെയ്യൽ4

നിങ്ങൾക്ക് ഫാൽക്കോ ശരിയായി പ്രവർത്തിക്കുന്നുണ്ടോ എന്ന് പരിശോധിക്കണമെന്നുണ്ടെങ്കിൽ, ഞങ്ങളുടെ സിസ്കോൾ, k8s ഓഡിറ്റ് അനുബന്ധനിയമങ്ങൾക്കായി ഒരു പ്രവർത്തനം നടത്താൻ കഴിവുള്ള event-generator ഉപകരണം ഞങ്ങളുടെ പക്കലുണ്ട്.

ഉപകരണം ചില അല്ലെങ്കിൽ എല്ലാ സാമ്പിൾ ഇവൻറുകളും റൺ ചെയ്യാനുള്ള ഒരു നിർദ്ദേശം നൽകുന്നു.

event-generator run [regexp]

ആർഗ്യുമെൻറുകൾ ഇല്ലാതെ ഇത് എല്ലാ പ്രവർത്തനങ്ങളും റൺ ചെയ്യുന്നു, അതല്ലെങ്കിൽ നൽകിയിരിക്കുന്ന പതിവ് എക്സ്പ്രഷനുകളുമായി പൊരുത്തപ്പെടുന്ന പ്രവർത്തനങ്ങൾ മാത്രം.

പൂർണ്ണ കമാൻഡ് ലൈൻ ഡോക്യുമെൻറേഷൻ here എന്നതിൽ.

ഡൌൺലോഡുകൾ

ArtifactsVersion
ബൈനറികൾdownload linkRelease
കണ്ടെയ്നർ ചിത്രങ്ങൾdocker pull falcosecurity/event-generator:latestDocker Image Version (latest semver)

സാമ്പിൾ ഇവൻറുകൾ

സിസ്റ്റം കോൾ പ്രവർത്തനം

മുന്നറിയിപ്പ് — ചില കമാൻഡുകൾ നിങ്ങളുടെ സിസ്റ്റത്തിൽ മാറ്റം വരുത്തിയേക്കാമെന്നതിനാൽ, ഡോക്കറിനുള്ളിൽ തന്നെ പ്രോഗ്രാം റൺ ചെയ്യാനായി ഞങ്ങൾ ശക്തമായി ശുപാർശ ചെയ്യുന്നു. ഉദാഹരണത്തിന്, ചില പ്രവർത്തനങ്ങൾ /bin, /etc, /dev തുടങ്ങിയവക്ക് കീഴിൽ ഫയലുകളും ഡയറക്റ്ററികളും പരിഷ്കരിക്കുന്നു.

syscall ശേഖരം, default Falco ruleset കണ്ടെത്തുന്ന വ്യത്യസ്ത സംശയ നടപടികൾ നടപ്പിലാക്കുന്നു.

docker run -it --rm falcosecurity/event-generator run syscall --loop

മുകളിലുള്ള കമാൻഡ് ഓരോ സെക്കൻഡിലും ഒരു സാമ്പിൾ ഇവൻറ് ജനറേറ്റ് ചെയ്തുകൊണ്ട് നിർത്താതെ എന്നെന്നേക്കുമായി ലൂപ്പ് ചെയ്യുന്നു.

Kubernetes ഓഡിറ്റിങ് പ്രവർത്തനം

k8saudit ശേഖരം k8s audit event ruleset എന്നതുമായി പൊരുത്തപ്പെടുന്ന പ്രവർത്തനം ജനറേറ്റ് ചെയ്യുന്നു.

event-generator run k8saudit --loop

നിലവിലുള്ള നെയിംസ്പേസിൽ ഉറവിടങ്ങൾ സൃഷ്ടിച്ചും, ഓരോ ആവർത്തനത്തിന് ശേഷവും അവ ഡിലീറ്റ് ചെയ്തും, മുകളിലുള്ള കമാൻഡ് എന്നെന്നേക്കുമായി ലൂപ്പ് ചെയ്യുന്നു. വ്യത്യസ്ത നെയിംസ്പേസ് തിരഞ്ഞെടുക്കാൻ --namespace ഓപ്ഷൻ ഉപയോഗിക്കുക.

K8sൽ ഇവൻറ് ജനറേറ്റർ റൺ ചെയ്യൽ

K8s ക്ലസ്റ്ററുകളിൽ ഇവൻറ് ജനറേറ്റർ റൺ ചെയ്യുന്നത് എളുപ്പമാക്കുന്ന K8s ഉറവിട ഓബ്ജക്റ്റ് ഫയലുകളും ഞങ്ങൾ നൽകിയിട്ടുണ്ട്:

  • role-rolebinding-serviceaccount.yaml ഒരു സേവനഅക്കൌണ്ട്, ക്ലസ്റ്റർ റോൾ, ഒരു falco-event-generator സർവീസ് അക്കൌണ്ട് അനുവദിക്കുന്ന റോൾ എന്നിവ സൃഷ്ടിക്കുന്നു.
  • event-generator.yaml എല്ലാ സാമ്പിൾ ഇവൻറുകളും ഒരു ലൂപ്പിൽ റൺ ചെയ്യുന്ന ഒരു ഡിപ്ലോയ്മെൻറ് സൃഷ്ടിക്കുന്നു.
  • run-as-job.yaml എല്ലാ സാമ്പിൾ ഇവൻറുകളും ഒരിക്കൽ റൺ ചെയ്യുന്ന ഒരു ജോലി സൃഷ്ടിക്കുന്നു.

ഉദാഹരണത്തിന്, നിങ്ങൾക്ക് നിലവിലെ നെയിംസ്പേസിൽ ആവശ്യമായ ഓബ്ജക്റ്റുകൾ സൃഷ്ടിക്കുന്നതിന് ഇനി പറയുന്നത് റൺ ചെയ്യാനും നിരന്തരമായി ഇവൻറുകൾ ജെനറേറ്റ് ചെയ്യാനും കഴിയും:

kubectl apply -f deployment/role-rolebinding-serviceaccount.yaml \
  -f deployment/event-generator.yaml

മുകളിലുള്ള കമാൻഡ് ഡീഫോൾട്ട് നെയിംസ്പേസിന് ബാധകമാകുന്നു. വ്യത്യസ്ത നെയിംസ്പേസിൽ വിന്യസിക്കാൻ --namespace ഓപ്ഷൻ ഉപയോഗിക്കുക. ഇവൻറുകൾ അതേ നെയിംസ്പേസിൽ തന്നെ ജെനറേറ്റ് ചെയ്യപ്പെടും.

documentation റെപ്പോസിറ്ററിയിലും നിങ്ങൾക്ക് കൂടുതൽ ഉദാഹരണങ്ങൾ കണ്ടെത്താനാകും.