Falco是一款为Linux系统设计的云原生安全工具,可以用于监控Kubernetes上应用的运行时异常活动。通过Logtail可将Falco产生的容器运行时告警事件传输至Logstore进行查询分析。
使用限制
日志审计内使用Logtail目前仅支持Kubernetes和Docker场景的Falco告警事件采集。
1. 安装Falco
安装Falco请参见Falco安装文档。
2. 配置Logtail组件
2.1 安装Logtail组件
阿里云Kubernetes集群和自建Kubernetes集群,请参见安装Logtail组件(阿里云Kubernetes集群)和安装Logtail组件(自建Kubernetes集群)。
2.2 配置Logtail
登录日志服务控制台。在日志应用区域的审计与安全页签,单击新版日志审计服务。
在新版日志审计页面,单击已有的关联Project名称。或者单击关联Project,创建新的关联Project。
在左侧导航栏,选择数据接入>运行时,单击创建Logtail配置,在下拉列表单击Falco。
在机器组配置页面,选择目标机器组,单击下一步。
在Logtail配置页面已默认配置相关参数,单击页面下方的完成。
重要Faclo默认将告警事件输出到标准输出。日志服务提供DaemonSet方式采集容器标准输出,因此您需要通过DaemonSet-控制台方式采集容器标准输出完成日志采集。如果Falco将告警事件输出到固定的文件,您可以通过DaemonSet-控制台方式采集容器文本日志进行日志采集。
2.3 验证配置结果
配置Logtail组件后,日志服务会自动在关联Project下创建如下资源。
名称为
falco-pipelineconfig的Logtail采集配置。
名称为
falco-log的Logstore。
3. 查询分析日志
在左侧导航栏选择查询分析>运行时,单击Falco页签。Falco采集的日志字段说明,请参见Falco运行时日志字段说明。查询语法,请参见查询语法。
相关文档
Falco产生的容器运行时告警事件传输至Logstore各个字段的含义,请参见Falco运行时日志字段说明。
将Falco产生的容器运行时告警事件传输至Logstore后,您可以在报表中心查看运行时告警概览。