問題タブ [falco]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
falco - ルールが繰り返し発生する原因は何ですか?
カスタム falco ルールをテストするために、minikube を使用してローカル テスト環境を作成しました。
目標は、名前空間と Pod 名でキーワードを検索し、それらに Info 優先度を設定して、Kibana でフィルター処理できるようにすることです。
以下は、私が作成したカスタム マクロとルールです。
ルールをテストするために名前空間とポッドを作成しましたが、期待どおりに起動しています (たとえば、falco の起動時、シェルのスポーン時、ポッドとの対話時など)。
ただし、アラートは繰り返し発生し、一度に数百回発生することもあるため、ログを grep したときの出力はこのサンプルのようになります。
好奇心から、さまざまなイベントが発生したときのさまざまなルール アラートの行数を調べたところ、同じではないことがわかりました。以下の表を参照してください。
| イベント | 名前空間ルールが実行されました #: | Pod 名ルールが起動されました #: |
|---|---|---|
| 起動 | 6 | 4 |
| スポーンシェル | 106 | 55 |
| 適切な更新 | 943 | 23 |
| wgetをインストール | 84 | 26 |
これらのルールが何度もトリガーされる理由として、私が考えることができる唯一の 2 つの理由は次のとおりです。
- ルールを間違って書いた、または
- バックグラウンドで (私が直接トリガーしたものではない) イベントが発生し、ルールが繰り返し起動されます。
2の可能性が高いと思いますが、私が書いたルールが問題ないように見えるか、他の洞察を持っていることを確認できる人に感謝します.