下载掌阅APP,畅读海量书库
立即打开
插件是一种向Falco添加额外数据源的简单方法,不需要重新构建。插件实现了使用接口将事件提供给Falco,类似于内核模块和eBPF探针。然而,插件并不局限于捕获系统调用:它们可以向Falco提供任何类型的数据,包括日志和API事件。
Falco有许多强大的插件来扩展它的范围。例如,CloudTrail插件从AWS CloudTrail中摄取JSON日志,并允许Falco在云基础设施中发生危险时发出警报。插件可以用任何语言编写,但是Go和C++的软件开发工具包SDK会更容易一些。我们将在第4章和第11章讨论更多关于插件的内容。