Модуль runtime-audit-engine: расширенная конфигурация

Включение логов для отладки

Falco

По умолчанию используется уровень логирования debug.

Falcosidekick

По умолчанию отладочное логирование выключено в Falcosidekick.

Для включения отладочного логирования установите параметр spec.settings.debugLogging в true:

apiVersion: deckhouse.io/v1alpha1
kind: ModuleConfig
metadata:
  name: runtime-audit-engine
spec:
  enabled: true
  settings:
    debugLogging: true

Просмотр метрик

Для получения метрик можно использовать PromQL-запрос falco_events{}:

kubectl -n d8-monitoring exec -it prometheus-main-0 prometheus -- \
  curl -s http://127.0.0.1:9090/api/v1/query\?query\=falco_events | jq

В будущем мы добавим Grafana dashboard для просмотра метрик.

Эмуляция события Falco

Вы можете использовать утилиту event-generator для генерации событий Falco.

event-generator может генерировать различные подозрительные действия (syscalls, k8s audit events и др.).

Вы можете использовать следующую команду для запуска тестового набора событий в кластере Kubernetes:

kubectl run falco-event-generator --image=falcosecurity/event-generator run

Если вам нужно реализовать действие, воспользуйтесь руководством.

Эмуляция события Falcosidekick

Вы можете использовать Falcosidekick /test HTTP endpoint для отправки тестового события во все включенные выходы.

• Получите список подов в пространстве имен d8-runtime-audit-engine:

  kubectl -n d8-runtime-audit-engine get pods
  

  Пример вывода:

  NAME                         READY   STATUS    RESTARTS   AGE
  runtime-audit-engine-4cpjc   4/4     Running   0          3d12h
  runtime-audit-engine-rn7nj   4/4     Running   0          3d12h
  

• Получите IP-адрес пода runtime-audit-engine-4cpjc:

  export POD_IP=$(kubectl -n d8-runtime-audit-engine get pod runtime-audit-engine-4cpjc --template '{{.status.podIP}}')
  

• Создайте отладочное событие, выполнив запрос:

  kubectl run curl --image=curlimages/curl curl -X POST -H "Content-Type: application/json" -H "Accept: application/json" $POD_IP:2801/test
  

• Проверьте метрику отладочного события:

  kubectl -n d8-monitoring exec -it prometheus-main-0 prometheus --  \
    curl -s http://127.0.0.1:9090/api/v1/query\?query\=falco_events | jq
  

• Пример вывода:

  {
    "metric": {
      "__name__": "falco_events",
      "container": "kube-rbac-proxy",
      "instance": "192.168.199.60:4212",
      "job": "runtime-audit-engine",
      "node": "dev-master-0",
      "priority": "Debug",
      "rule": "Test rule",
      "tier": "cluster"
    },
    "value": [
      1687150913.828,
      "2"
    ]
  }