Falcoが正しく動作しているかどうかを確認したい場合は、システムコールとk8s監査に関する両方のアクティビティを実行できるevent-generatorツールがあります。
このツールは、一部またはすべてのサンプルイベントを実行するコマンドを提供します。
event-generator run [regexp]
引数がない場合、すべてのアクションが実行されます。それ以外の場合は、指定された正規表現に一致するアクションのみが実行されます。
コマンドラインの完全なドキュメントはこちらです。
ダウンロード
| アーティファクト | バージョン | |
|---|---|---|
| binaries | download link |  |
| container images | docker pull falcosecurity/event-generator:latest |  |
サンプルイベント
システムコールアクティビティ
注意 — 一部のコマンドはシステムを変更する可能性があるため、Docker(下記参照)内でプログラムを実行することを強くお勧めします。たとえば、一部のアクションは、
/bin, /etc, /devなどの下のファイルとディレクトリを変更します。syscallコレクションは、デフォルトのFalcoルールセットによって検出されるさまざまな疑わしいアクションを実行します。
docker run -it --rm falcosecurity/event-generator run syscall --loop
上記のコマンドは永久にループし、毎秒サンプルイベントを絶え間なく生成します。
Kubernetes 監査アクティビティ
k8sauditコレクションは、k8s監査イベントルールセットに一致するアクティビティを生成します。
event-generator run k8saudit --loop
上記のコマンドは永久にループし、現在のネームスペースにリソースを作成し、各反復後にそれらを削除します。 別のネームスペースを選択するには、--namespaceオプションを使用します。
K8sでのイベントジェネレーターの実行
また、K8sクラスターでのイベントジェネレーターの実行を容易にするK8sリソースオブジェクトファイルも提供しています:
role-rolebinding-serviceaccount.yamlは、サービスアカウント、クラスターロール、および サービスアカウントfalco-event-generatorを許可する役割。event-generator.yamlは、すべてのサンプルイベントをループで実行するデプロイメントを作成します。run-as-job.yamlは、すべてのサンプルイベントを一度実行するジョブを作成します 。
たとえば、次のコマンドを実行して、現在のネームスペースに必要なオブジェクトを作成し、イベントを継続的に生成できます:
kubectl apply -f deployment/role-rolebinding-serviceaccount.yaml \
-f deployment/event-generator.yaml
上記のコマンドは、デフォルトのネームスペースに適用されます。 別のネームスペースにデプロイするには、--namespaceオプションを使用します。 イベントは同じネームスペースで生成されます。
リポジトリドキュメントには、他の例もあります。
Table of contents