Falcoは、Linuxオペレーティングシステム用のクラウドネイティブなセキュリティツールです。 Falcoは、Kubernetesクラスター内のアプリケーションのランタイムアクティビティを監視できます。 Logtailを使用して、Falcoによって生成されたコンテナランタイムアラートをクエリと分析のためにLogstoreに配信できます。
制限事項
Logtailを使用して、KubernetesおよびDocker環境でのみFalcoによって生成されたコンテナランタイムアラートを配信できます。
1. Falcoのインストール
Falcoのインストール方法の詳細については、「Falcoインストールドキュメント」をご参照ください。
2. Logtailコンポーネントの設定
2.1 Logtailコンポーネントのインストール
Alibaba Cloud KubernetesクラスターおよびセルフマネージドKubernetesクラスターへのLogtailコンポーネントのインストール方法の詳細については、「ACKクラスターへのLogtailコンポーネントのインストール」および「セルフマネージドKubernetesクラスターへのLogtailコンポーネントのインストール」をご参照ください。
2.2 Logtail構成の作成
Simple Log Serviceコンソールにログインします。 [ログアプリケーション] セクションで、[監査とセキュリティ] タブをクリックします。 次に、[ログ監査サービス (新バージョン)] をクリックします。
ログ監査サービス (新バージョン) ページで、関連するプロジェクトをクリックします。 または、[プロジェクトの関連付け] をクリックして、プロジェクトをLog Audit Serviceに関連付けます。
左側のナビゲーションウィンドウで、[データ収集]> [実行時] を選択します。 表示されるページで、[Logtail設定の作成] をクリックし、ドロップダウンリストから [Falco] を選択します。
データのインポートウィザードのマシングループ設定ステップで、管理するマシングループを選択し、[次へ] をクリックします。
データのインポートウィザードのLogtail設定ステップで、デフォルトのパラメーター設定を使用し、[完了] をクリックします。
重要デフォルトでは、Falcoはコンテナランタイムアラートをコンテナstdoutおよびstderrとしてエクスポートします。 Simple Log Serviceを使用すると、DaemonSetモードでコンテナのstdoutとstderrを収集できます。 詳細については、「DaemonSetモードでKubernetesコンテナからテキストログを収集する」をご参照ください。 Falcoがコンテナランタイムアラートを固定ファイルにエクスポートする場合、DaemonSetモードでファイルからアラートを収集できます。 詳細については、「Simple Log Serviceコンソールを使用してDaemonSetモードでコンテナテキストログを収集する」をご参照ください。
2.3 設定結果の確認
Logtailコンポーネントを設定すると、Simple Log Serviceは関連するプロジェクトに次のリソースを自動的に作成します。
falco-pipelineconfigという名前のLogtail構成。
falco-logという名前のLogstore。
3. コンテナー実行時アラートの照会と分析
左側のナビゲーションウィンドウで、[クエリと分析]> [ランタイム] を選択します。 表示されるページで、Falcoタブをクリックします。 Falcoによって生成されるコンテナランタイムアラートのフィールドの詳細については、「Falcoランタイムログのフィールド」をご参照ください。 検索構文の詳細については、「検索構文」をご参照ください。
関連ドキュメント
Falcoによって生成されるコンテナランタイムアラートのフィールドの詳細については、「Falcoランタイムログのフィールド」をご参照ください。
LogtailがFalcoによって生成されたコンテナランタイムアラートをLogstoreに配信した後、レポートセンターでランタイムイベントアラートの概要ダッシュボードを表示できます。 詳細については、「レポートセンター」をご参照ください。