Falcoは、マシン上におけるシステムコールのストリームを利用し、それらのシステムコールをユーザー空間に渡すカーネルモジュールに依存しています。

Falcoは、falcoと呼ばれる独自のカーネルモジュールを使用します。

カーネルモジュールのインストール

デフォルトでは、カーネルモジュールは、falco debian/redhatパッケージをインストールするとき、または falcosecurity/falco Dockerイメージを実行するときにインストールされます。カーネルモジュールをインストールするスクリプトは、次の3つの方法でインストールを試みます：

• dkmsを使用して、ソースからカーネルモジュールをビルドします。
• ビルド済みのカーネルモジュールをhttps://dl.bintray.com/falcosecurity/driver/からダウンロードします。
• ~/.falcoからビルド済みのカーネルモジュールを探します。

ビルド済みのカーネルモジュールを使用するオプションについては、インストールページをご覧ください。