Falco规则引擎是用户和Falco交互的组件,以下是规则引擎负责的一些事情:
· 加载Falco规则文件。
· 解析文件中的规则。
· 根据本地规则文件应用本地定制(如追加和覆盖)。
· 使用libsinsp编译每个规则的条件和输出。
· 在规则触发时执行对应的操作,包括输出。
得益于libscap和libsinsp的强大功能,规则引擎的实现变得很简单,并且相对独立于技术栈的其余部分。 Ac2U8KBZEWNdIZlVHXfLi6aIkNutOgHNegNCt0I6CApI3yrn7btIEF6EyYUjvvlN