You are viewing documentation for Falco version: v0.36.2

Falco v0.36.2 documentation is no longer actively maintained. The version you are currently viewing is a static snapshot. For up-to-date documentation, see the latest version.

Blog

Do you have something to share? Contribute to Falco blog!

Featured Image for Choosing a Falco driver
Kris Nóva Sep 23, 2020
Choosing a Falco driver

Falco的工作原理是在运行时获取Linux系统调用信息,并在内存中重建内核的状态。 Falco引擎依赖于一个驱动程序来使用原始的系统调用信息流。 目前,Falco项目支持3种不同的驱动程序,其中引擎可以使用这些信息。 内核模块 eBPF探头 用户空间程序 本博客将重点介绍每个实现的细微差别,并解释它们存在的原因。 希望此资源将为您了解适合您的用例驱动程序提供一个起点。 Updated: Falco 0.26.0 内核模块 Falco内核模块是从内核获取所需数据流的传统方式。 …