設定ファイル@Falco¶
はじめに¶
本サイトにつきまして、以下をご認識のほど宜しくお願いいたします。
01. セットアップ¶
インストール¶
▼ チャートとして¶
チャートリポジトリからチャートをインストールし、Kubernetesリソースを作成する。
$ helm repo add <チャートリポジトリ名> https://falcosecurity.github.io/charts
$ helm repo update
$ kubectl create namespace falco
$ helm install <Helmリリース名> <チャートリポジトリ名>/falco -n falco --version <バージョンタグ>
02. 設定ファイル¶
設定ファイルの例¶
rules_file¶
切り分けて定義したFalcoの設定ファイルを設定する。
rules_file:
# デフォルトのルールを定義したファイル
- /etc/falco/falco_rules.yaml
# ユーザー定義のルールを定義したファイル
- /etc/falco/falco_rules.local.yaml
- /etc/falco/rules.d
plugins¶
Falcoの拡張プラグインを設定する。
plugins:
- name: k8saudit
library_path: libk8saudit.so
init_config: null
open_params: "http://:9765/k8s-audit"
- name: cloudtrail
library_path: libcloudtrail.so
- name: json
library_path: libjson.so
load_plugins¶
記入中...
load_plugins: []
watch_config_files¶
記入中...
watch_config_files: "true"
time_format_iso_8601¶
記入中...
time_format_iso_8601: "false"
json_output¶
記入中...
json_output: "false"
json_include_output_property¶
記入中...
json_include_output_property: "true"
json_include_tags_property¶
記入中...
json_include_tags_property: "true"
log_stderr¶
記入中...
log_stderr: "true"
log_syslog¶
記入中...
log_syslog: "true"
log_level¶
記入中...
log_level: info
libs_logger¶
記入中...
libs_logger:
enabled: "false"
severity: debug
priority¶
記入中...
priority: debug
buffered_outputs¶
記入中...
buffered_outputs: "false"
syscall_event_drops¶
記入中...
syscall_event_drops:
threshold: 0.1
actions:
- log
- alert
rate: 0.03333
max_burst: 1
simulate_drops: "false"
syscall_event_timeouts¶
記入中...
syscall_event_timeouts:
max_consecutives: 1000
syscall_buf_size_preset¶
記入中...
syscall_buf_size_preset: 4
output_timeout¶
記入中...
output_timeout: 2000
outputs¶
記入中...
outputs:
rate: 0
max_burst: 1000
syslog_output¶
記入中...
syslog_output:
enabled: "true"
file_output¶
記入中...
file_output:
enabled: "false"
keep_alive: "false"
filename: ./events.txt
stdout_output¶
記入中...
stdout_output:
enabled: "true"
webserver¶
記入中...
webserver:
enabled: "true"
threadiness: 0
listen_port: 8765
k8s_healthz_endpoint: /healthz
ssl_enabled: "false"
ssl_certificate: /etc/falco/falco.pem
program_output¶
記入中...
program_output:
enabled: "false"
keep_alive: "false"
program: >-
jq '{text: .output}' | curl -d @- -X POST
https://hooks.slack.com/services/XXX
http_output¶
記入中...
http_output:
enabled: "false"
url: "http://some.url"
user_agent: falcosecurity/falco
grpc¶
記入中...
grpc:
enabled: "false"
bind_address: "unix:///run/falco/falco.sock"
threadiness: 0
grpc_output¶
記入中...
grpc_output:
enabled: "false"
metadata_download¶
記入中...
metadata_download:
max_mb: 100
chunk_wait_us: 1000
watch_freq_sec: 1