Falco 中文文档

Falco 容器安全系统概览

关于 Falco

Falco 是一款旨在检测应用中反常活动的行为监视器，由Sysdig的系统调用捕获基础设施驱动。您仅需为 Falco 撰写一套规则，即可在一处持续监测并监控容器、应用、主机及网络的异常活动。

Falco 可以监测调用 Linux 系统调用的行为，并根据其不同的调用、参数及调用进程的属性发出警告。例如，Falco 可轻松检测：

我们常常会被问到 Falco 与 SELinux、AppArmor、Auditd 或其他 Linux 安全策略工具有何不同。为此，我们在 Sysdig 博客上撰写了一篇博文，并详细对比了多款工具。

Falco 应作为守护程序部署。您可将其作为一款 deb/rpm 软件包安装在主机或容器宿主上，亦或可以作为容器部署。当然，您也可以下载源代码并自己动手编译安装。

您可通过规则文件或通用配置文件定义 Falco 应监视的行为及事件。我们提供了一份示例规则文件 ./rules/falco_rules.yaml，您可随意修改规则来适配您的工作环境。

当您撰写规则时，Falco 可读取由 Sysdig 产生的回溯文件。这一特性可让您在调整规则时“录制”有害行为，并无限次数地回放。

部署后，Falco 将利用 Sysdig 内核模块及用户空间函数库来监控规则文件定义中的任意事件。若异常事件发生，Falco 会将通知信息写入您所配置的输出中。

当 Falco 检测到可疑行为时，报警信息可通过下列渠道输出：

在Linux系统和各种容器平台上运行

Was this page helpful?

Sorry to hear that. Please tell us how we can improve.