参考https://falco.org/docs/getting-started/source/
在Ubuntu 18.04.2 LTS搭建对应环境。
我用内核模块作为数据源:
insmod driver/falco.ko
运行Falco:
sudo ./userspace/falco/falco -c ../falco.yaml -r ../rules/falco_rules.yaml
参考readme描述
然后执行:
cat /etc/shadow
docker run -it ubuntu:16.04
容器id为:
Falco输出:
确实有日志输出相关信息。