本章展示了如何在本地机器上安装和运行Falco、一些事件生成的简单方法,以及如何解码输出。然后,我们研究了如何使用配置文件定制Falco的行为。加载和扩展规则是指示Falco保护哪些内容的主要方法。同样,配置输出通道能满足不同的需求。
有了这些知识,你可以更加自信地开始使用Falco。本书的其余部分将扩展你在这里学到的知识,并最终帮助你完全掌握Falco。
[1] Falco需要以root权限运行来操作驱动程序,进而驱动程序收集系统调用。然而,这种方法不是唯一的。例如,你可以从Falco的Running页面( https://oreil.ly/6VD67 )了解到如何在容器中以最小权限原则运行Falco。