本章将深入探讨操作系统内核以及Falco数据收集技术栈。你将了解Falco如何捕获提供给规则引擎的不同类型的事件、数据收集过程与其他方法的对比,以及Falco为什么以这种方式构建。在本章结束时,你将了解到更多的细节,从而能够根据自己的需求选择和部署正确的驱动程序和插件。
首先我们要了解在Falco中可以使用哪些数据源,大体上可以分为两大类:系统调用和插件。系统调用是Falco的原始数据源,它们来自操作系统的内核,提供对进程、容器、虚拟机和主机活动的可见性。Falco使用它们来保护工作负载和应用程序。插件作为第二种数据源类型是相对比较新的,于2022年才添加了支持。插件可以将各种类型的输入连接到Falco,如云日志和API。
Falco之前支持Kubernetes审计日志作为第三种独立的数据源类型,不过从Falco 0.32开始,这个数据源已经被重新视为一个插件,因此本章将不再赘述。