Falco 集成
编辑Falco 集成
编辑此集成允许将 Falco 警报发送到 Elastic,以实现可观测性和组织意识。然后,可以使用集成附带的仪表板或在 Kibana 中创建自定义仪表板来分析警报。
数据流
编辑Falco 集成收集一种类型的数据流
- 日志 Falco 集成收集的日志数据流由 Falco 警报组成。有关 Falco 警报的更多详细信息,请参阅 Falco 的输出文档。可以在 日志参考 中找到此集成使用的潜在字段的完整列表
要求
编辑您需要 Elasticsearch 来存储和搜索您的数据,以及 Kibana 来可视化和管理它。您可以使用我们托管在 Elastic Cloud 上的 Elasticsearch 服务(推荐),或者在您自己的硬件上自行管理 Elastic Stack。
必须将 Falco 配置为将警报输出到 设置 中定义的受支持的输出通道。系统将仅接收 Falco 规则输出的字段。如果规则不包含所需的字段,则必须在 Falco 中编辑该规则以添加该字段。
此集成与 Falco 0.37 及更高版本兼容,不应期望在较低版本中成功执行。
设置
编辑有关如何设置集成的分步说明,请参阅 入门 指南。
为了捕获来自 Falco 的警报,您必须将 Falco 配置为将警报以 JSON 格式输出到受支持的通道之一:日志文件 或 TCP Syslog。
必需: 要将 Falco 配置为输出 JSON,请在 Falco 的配置中设置配置属性 json_output=true 和 json_include_output_property=true。有关示例,请参阅 Falco 的 输出通道文档。
日志文件输入
编辑日志文件输入使用 Elastic Agent 从一个或多个 Falco 日志文件中读取数据。当 Elastic Agent 将部署到与 Falco 相同的计算机上,或者当 Falco 的日志文件可通过挂载的文件系统使用时,请使用此输入。
要使用此输入,必须将 Falco 配置为将警报输出到日志文件。有关详细信息,请参阅 Falco 的 文件输出 文档。
TCP Syslog 输入
编辑TCP Syslog 输入允许 Elastic Agent 通过远程 Syslog 接收 Falco 警报。当您想通过 Falco Sidekick 发送数据时,请使用此输入。
要使用此输入,您需要
日志参考
编辑警报
编辑Falco 警报可以包含与主机上的活动类型相关的多种不同字段。
导出的字段
| 字段 | 描述 | 类型 | 单位 |
|---|---|---|---|
@timestamp |
带有纳秒的事件时间戳。 |
日期 |
|
cloud.image.id |
云实例的镜像 ID。 |
关键字 |
|
data_stream.dataset |
数据流数据集。 |
常量关键字 |
|
data_stream.namespace |
保留的 Falco 字段 |
常量关键字 |
|
data_stream.type |
数据流类型。 |
常量关键字 |
|
event.dataset |
数据流/事件数据集。 |
常量关键字 |
|
event.module |
事件所属的模块。 |
常量关键字 |
|
falco.container.mounts |
挂载信息列表。 |
嵌套 |
|
falco.container.mounts.dest |
关键字 |
||
falco.container.mounts.mode |
关键字 |
||
falco.container.mounts.propagation |
关键字 |
||
falco.container.mounts.rdrw |
关键字 |
||
falco.container.mounts.source |
关键字 |
||
falco.hostname |
集成所需的字段 |
关键字 |
|
falco.output |
文本 |
||
falco.output_fields.client.ip |
Falco 复制的同名 ECS 字段 |
IP |
|
falco.output_fields.container.cni_json |
来自各自容器状态信息的容器的 CNI 结果字段。 |
对象 |
|
falco.output_fields.container.duration |
自 container.start_ts 以来的纳秒数。 |
长整型 |
纳秒 |
falco.output_fields.container.full_id |
保留的 Falco 字段 |
文本 |
|
falco.output_fields.container.healthcheck |
容器的运行状况检查。如果没有配置运行状况检查,则将为 N/A。 |
文本 |
|
falco.output_fields.container.id |
Falco 在内核中从 Linux cgroup 中提取的截断容器 ID(前 12 个字符) |
关键字 |
|
falco.output_fields.container.image.digest |
保留的 Falco 字段 |
文本 |
|
falco.output_fields.container.image.full_id |
完整的容器镜像 ID,作为容器引擎丰富的一部分进行丰富。 |
关键字 |
|
falco.output_fields.container.image.id |
容器镜像 ID。 |
关键字 |
|
falco.output_fields.container.image.name |
Falco 复制的同名 ECS 字段 |
文本 |
|
falco.output_fields.container.image.repository |
容器镜像存储库。 |
关键字 |
|
falco.output_fields.container.image.tag |
保留的 Falco 字段 |
文本 |
|
falco.output_fields.container.ip |
保留的 Falco 字段 |
文本 |
|
falco.output_fields.container.liveness_probe |
容器的活性探针。如果没有配置活性探针,则将为 N/A。 |
文本 |
|
falco.output_fields.container.mounts |
容器挂载信息的原始文本值 |
文本 |
|
falco.output_fields.container.name |
容器名称 |
关键字 |
|
falco.output_fields.container.privileged |
保留的 Falco 字段 |
布尔值 |
|
falco.output_fields.container.readiness_probe |
容器的就绪探针。如果没有配置就绪探针,则将为 N/A。 |
文本 |
|
falco.output_fields.container.start_ts |
容器启动时间作为 epoch 时间戳。 |
date_nanos |
|
falco.output_fields.container.type |
保留的 Falco 字段 |
文本 |
|
falco.output_fields.destination.ip |
Falco 复制的同名 ECS 字段 |
IP |
|
falco.output_fields.evt.abspath |
计算的绝对路径。 |
文本 |
|
falco.output_fields.evt.abspath_dst |
绝对路径的目标。 |
文本 |
|
falco.output_fields.evt.abspath_src |
绝对路径的源。 |
文本 |
|
falco.output_fields.evt.arg.flags |
保留的 Falco 字段 |
文本 |
|
falco.output_fields.evt.args |
所有事件参数的聚合字符串。 |
文本 |
|
falco.output_fields.evt.asynctype |
事件的类型(如果是异步的)。 |
关键字 |
|
falco.output_fields.evt.buffer |
具有二进制缓冲区的事件的二进制缓冲区。 |
二进制 |
|
falco.output_fields.evt.buflen |
二进制缓冲区的长度(如果适用)。 |
无符号长整型 |
|
falco.output_fields.evt.category |
保留的 Falco 字段 |
文本 |
|
falco.output_fields.evt.count.error |
对于返回错误的事件,返回 1 |
整数 |
|
falco.output_fields.evt.count.error_file |
对于返回错误且与文件 I/O 相关的事件,返回 1 |
整数 |
|
falco.output_fields.evt.count.error_memory |
对于返回错误且与内存分配相关的事件,返回 1 |
整数 |
|
falco.output_fields.evt.count.error_net |
对于返回错误且与网络 I/O 相关的事件,返回 1 |
整数 |
|
falco.output_fields.evt.count.error_other |
对于返回错误且与上述类别都不相关的事件,返回 1 |
整数 |
|
falco.output_fields.evt.count.exit |
对于退出事件,返回 1 |
整数 |
|
falco.output_fields.evt.cpu |
发生事件的 CPU 编号。 |
整数 |
|
falco.output_fields.evt.deltatime |
当前事件和上一个事件之间的增量。 |
长整型 |
纳秒 |
falco.output_fields.evt.dir |
进入事件 (>) 或退出事件 (<)。 |
关键字 |
|
falco.output_fields.evt.failed |
表示事件是否返回错误状态。 |
布尔值 |
|
falco.output_fields.evt.hostname |
保留的 Falco 字段 |
文本 |
|
falco.output_fields.evt.info |
包含事件参数或从中解码的数据。 |
文本 |
|
falco.output_fields.evt.io_dir |
基于事件是从 FD 读取还是写入 FD 的类型。 |
关键字 |
|
falco.output_fields.evt.is_async |
表示事件是否为异步。 |
布尔值 |
|
falco.output_fields.evt.is_io |
表示读取或写入 FD 的事件。 |
布尔值 |
|
falco.output_fields.evt.is_io_read |
表示从 FD 读取的事件。 |
布尔值 |
|
falco.output_fields.evt.is_io_write |
表示写入 FD 的事件。 |
布尔值 |
|
falco.output_fields.evt.is_open_create |
表示是否为 open/openat/openat2/open_by_handle_at 事件创建了文件。 |
布尔值 |
|
falco.output_fields.evt.is_open_exec |
表示是否为 open/openat/openat2/open_by_handle_at 或创建事件创建了具有执行权限的文件。 |
布尔值 |
|
falco.output_fields.evt.is_open_read |
表示是否为 open/openat/openat2/open_by_handle_at 事件打开了路径以进行读取。 |
布尔值 |
|
falco.output_fields.evt.is_open_write |
表示是否为 open/openat/openat2/open_by_handle_at 事件打开了路径以进行写入。 |
布尔值 |
|
falco.output_fields.evt.is_syslog |
表示写入 /dev/log 的事件 |
布尔值 |
|
falco.output_fields.evt.is_wait |
表示强制线程等待的事件。 |
布尔值 |
|
falco.output_fields.evt.latency |
退出事件和相应的进入事件之间的增量。 |
长整型 |
纳秒 |
falco.output_fields.evt.num |
保留的 Falco 字段 |
整数 |
|
falco.output_fields.evt.plugininfo |
如果事件来自插件定义的事件源,则为事件摘要。 |
文本 |
|
falco.output_fields.evt.pluginname |
生成事件的插件的名称(如果适用)。 |
关键字 |
|
falco.output_fields.evt.rawres |
事件的返回值,以数字形式。 |
长整型 |
|
falco.output_fields.evt.res |
事件的返回值。 |
文本 |
|
falco.output_fields.evt.source |
保留的 Falco 字段 |
文本 |
|
falco.output_fields.evt.time |
保留的 Falco 字段 |
日期 |
|
falco.output_fields.evt.time.iso8601 |
事件发生时间 |
日期 |
|
falco.output_fields.evt.type |
保留的 Falco 字段 |
文本 |
|
falco.output_fields.evt.wait_latency |
在线程被迫等待的情况下,等待事件返回所花费的时间。 |
长整型 |
纳秒 |
falco.output_fields.fd.I4proto |
套接字的 IP 协议。可以是 _tcp_、_udp_、_icmp_ 或 _raw_。 |
关键字 |
|
falco.output_fields.fd.cip.name |
保留的 Falco 字段 |
文本 |
|
falco.output_fields.fd.connected |
表示套接字是否已连接用于 TCP/UDP FD。 |
布尔值 |
|
falco.output_fields.fd.containerdirectory |
容器 ID 和目录名称的串联。 |
关键字 |
|
falco.output_fields.fd.containername |
容器 ID 和 FD 名称的串联。 |
关键字 |
|
falco.output_fields.fd.cport |
保留的 Falco 字段 |
长整型 |
|
falco.output_fields.fd.cproto |
对于 TCP/UDP FD,客户端协议。 |
关键字 |
|
falco.output_fields.fd.dev |
包含引用文件的设备号。 |
整数 |
|
falco.output_fields.fd.dev_major |
包含引用文件的主设备号。 |
整数 |
|
falco.output_fields.fd.dev_minor |
包含引用文件的次设备号。 |
整数 |
|
falco.output_fields.fd.directory |
保留的 Falco 字段 |
文本 |
|
falco.output_fields.fd.filename |
保留的 Falco 字段 |
文本 |
|
falco.output_fields.fd.ino |
保留的 Falco 字段 |
文本 |
|
falco.output_fields.fd.is_server |
表示拥有 FD 的进程是否为连接中的服务器端点。 |
布尔值 |
|
falco.output_fields.fd.lip.name |
保留的 Falco 字段 |
文本 |
|
falco.output_fields.fd.lport |
保留的 Falco 字段 |
长整型 |
|
falco.output_fields.fd.lproto |
对于 TCP/UDP FD,本地协议。 |
关键字 |
|
falco.output_fields.fd.name |
FD 全名。如果 fd 是文件,则此字段包含完整路径。如果 FD 是套接字,则此字段包含连接元组。 |
文本 |
|
falco.output_fields.fd.name_changed |
表示由于事件而导致 FD 的名称是否更改。 |
布尔值 |
|
falco.output_fields.fd.num |
标识文件描述符的唯一编号。 |
长整型 |
|
falco.output_fields.fd.rip.name |
保留的 Falco 字段 |
文本 |
|
falco.output_fields.fd.rport |
保留的 Falco 字段 |
长整型 |
|
falco.output_fields.fd.rproto |
对于 TCP/UDP FD,远程协议。 |
关键字 |
|
falco.output_fields.fd.sip.name |
保留的 Falco 字段 |
文本 |
|
falco.output_fields.fd.sockfamily |
套接字事件的套接字系列。可以是ip或unix。 |
关键字 |
|
falco.output_fields.fd.sport |
保留的 Falco 字段 |
长整型 |
|
falco.output_fields.fd.sproto |
对于 TCP/UDP FD,服务器协议。 |
关键字 |
|
falco.output_fields.fd.type |
FD 的类型。可以是file、directory、ipv4、ipv6、unix、pipe、event、signalfd、eventpoll、inotify、signalfd 或 memfd。 |
关键字 |
|
falco.output_fields.fd.typechar |
FD 的类型,用单个字符表示。可以是 f 代表文件,4 代表 IPv4 套接字,6 代表 IPv6 套接字,u 代表 unix 套接字,p 代表管道,e 代表 eventfd,s 代表 signalfd,l 代表 eventpoll,i 代表 inotify,b 代表 bpf,u 代表 userfaultd,r 代表 io_uring,m 代表 memfd,o 代表未知。 |
关键字 |
|
falco.output_fields.fd.uid |
FD 的唯一标识符,由 FD 编号和线程 ID 创建。 |
关键字 |
|
falco.output_fields.fdlist.cips |
对于 poll 事件,fds 参数中的客户端 IP 地址。 |
IP |
|
falco.output_fields.fdlist.cports |
对于 poll 事件 / TCP/UDP FD,fds 参数中的客户端 TCP/UDP 端口。 |
IP |
|
falco.output_fields.fdlist.names |
对于 poll 事件,fds 参数中的 FD 名称。 |
关键字 |
|
falco.output_fields.fdlist.sips |
对于 poll 事件,fds 参数中的服务器 IP 地址。 |
IP |
|
falco.output_fields.fdlist.sports |
对于 poll 事件,fds 参数中的服务器 TCP/UDP 端口。 |
IP |
|
falco.output_fields.fs.path.name |
对于处理文件系统路径的任何事件类型,文件系统调用操作的路径。此路径始终是完全解析的,并在需要时预先添加线程 cwd。 |
关键字 |
|
falco.output_fields.fs.path.source |
对于处理文件系统路径的任何事件类型,特别是对于像 mv、cp 等源和目标,文件系统调用操作的源路径。此路径始终是完全解析的,并在需要时预先添加线程 cwd。 |
关键字 |
|
falco.output_fields.fs.path.target |
对于处理文件系统路径的任何事件类型,特别是对于像 mv、cp 等目标,文件系统调用操作的目标路径。此路径始终是完全解析的,并在需要时预先添加线程 cwd。 |
关键字 |
|
falco.output_fields.group.gid |
保留的 Falco 字段 |
整数 |
|
falco.output_fields.group.name |
保留的 Falco 字段 |
文本 |
|
falco.output_fields.k8s.ns.name |
保留的 Falco 字段 |
文本 |
|
falco.output_fields.k8s.pod.cni_json |
来自相应 pod 状态信息的 Kubernetes CNI 结果字段。 |
对象 |
|
falco.output_fields.k8s.pod.full_sandbox_id |
完整的、非截断的 Kubernetes pod 沙箱 ID。 |
关键字 |
|
falco.output_fields.k8s.pod.ip |
保留的 Falco 字段 |
文本 |
|
falco.output_fields.k8s.pod.labels |
保留的 Falco 字段 |
文本 |
|
falco.output_fields.k8s.pod.name |
保留的 Falco 字段 |
文本 |
|
falco.output_fields.k8s.pod.sandbox_id |
截断的 Kubernetes pod 沙箱 ID(前 12 个字符)。 |
关键字 |
|
falco.output_fields.k8s.pod.uid |
保留的 Falco 字段 |
文本 |
|
falco.output_fields.output |
保留的 Falco 字段 |
文本 |
|
falco.output_fields.priority |
保留的 Falco 字段 |
关键字 |
|
falco.output_fields.proc.args |
保留的 Falco 字段 |
文本 |
|
falco.output_fields.proc.cmdlenargs |
命令行参数的总长度,不包括空格。 |
长整型 |
|
falco.output_fields.proc.cmdline |
保留的 Falco 字段 |
文本 |
|
falco.output_fields.proc.cmdnargs |
保留的 Falco 字段 |
整数 |
|
falco.output_fields.proc.cwd |
保留的 Falco 字段 |
文本 |
|
falco.output_fields.proc.duration |
保留的 Falco 字段 |
文本 |
|
falco.output_fields.proc.env |
保留的 Falco 字段 |
文本 |
|
falco.output_fields.proc.exe |
从 args 收集的第一个命令行参数。 |
文本 |
|
falco.output_fields.proc.exe_ino |
磁盘上可执行文件的 inode 编号。 |
长整型 |
|
falco.output_fields.proc.exe_ino_ctime |
可执行文件的上次状态更改时间,以时间戳表示。 |
date_nanos |
|
falco.output_fields.proc.exe_ino_ctime_duration_pidns_start |
如果 PID 命名空间启动时间早于 ctime,则 PID 命名空间启动时间戳和 ctime 可执行文件之间相差的纳秒数。 |
长整型 |
|
falco.output_fields.proc.exe_ino_ctime_duration_proc_start |
修改可执行映像状态和使用更改后的可执行映像生成新进程之间相差的纳秒数。 |
长整型 |
|
falco.output_fields.proc.exe_ino_mtime |
可执行文件的上次修改时间,以时间戳表示。 |
date_nanos |
|
falco.output_fields.proc.exeline |
完整命令行,以 exe 作为第一个参数。 |
文本 |
|
falco.output_fields.proc.exepath |
保留的 Falco 字段 |
文本 |
|
falco.output_fields.proc.fdopencount |
进程的打开 FD 数。 |
无符号长整型 |
|
falco.output_fields.proc.fdopenlimit |
进程可以打开的最大 FD 数。 |
长整型 |
|
falco.output_fields.proc.fdusage |
进程的打开 FD 数与最大可用 FD 数之间的比率。 |
double |
|
falco.output_fields.proc.is_container_healthcheck |
表示此进程是否作为容器健康检查的一部分运行。 |
布尔值 |
|
falco.output_fields.proc.is_container_liveness_probe |
表示此进程是否作为容器的活性探测的一部分运行。 |
布尔值 |
|
falco.output_fields.proc.is_container_readiness_probe |
表示此进程是否作为容器的就绪探测的一部分运行。 |
布尔值 |
|
falco.output_fields.proc.is_exe_from_memfd |
表示此进程的可执行文件是否位于 overlayfs 的上层。 |
布尔值 |
|
falco.output_fields.proc.is_exe_upper_layer |
表示此进程的可执行文件是否位于 overlayfs 的上层。 |
布尔值 |
|
falco.output_fields.proc.is_exe_writable |
表示此进程的可执行文件是否可由生成该进程的同一用户写入。 |
布尔值 |
|
falco.output_fields.proc.is_sid_leader |
保留的 Falco 字段 |
布尔值 |
|
falco.output_fields.proc.is_vpgid_leader |
保留的 Falco 字段 |
布尔值 |
|
falco.output_fields.proc.loginshellid |
如果适用,则当前进程的祖先中最旧的 shell 的 PID。 |
长整型 |
|
falco.output_fields.proc.name |
保留的 Falco 字段 |
文本 |
|
falco.output_fields.proc.nchilds |
生成当前事件的进程中,处于活动状态的(非 leader)线程数,不包括 leader 线程。 |
无符号长整型 |
|
falco.output_fields.proc.nthreads |
生成当前事件的进程中,处于活动状态的线程数,包括 leader 线程。 |
无符号长整型 |
|
falco.output_fields.proc.pcmdline |
保留的 Falco 字段 |
文本 |
|
falco.output_fields.proc.pexe |
父进程的第一个命令行参数。 |
文本 |
|
falco.output_fields.proc.pexepath |
保留的 Falco 字段 |
文本 |
|
falco.output_fields.proc.pid.ts |
保留的 Falco 字段 |
文本 |
|
falco.output_fields.proc.pidns_init_start_ts |
PID 命名空间的起始时间,以时间戳表示。 |
date_nanos |
|
falco.output_fields.proc.pname |
保留的 Falco 字段 |
文本 |
|
falco.output_fields.proc.ppid |
保留的 Falco 字段 |
整数 |
|
falco.output_fields.proc.ppid.duration |
保留的 Falco 字段 |
长整型 |
|
falco.output_fields.proc.ppid.ts |
保留的 Falco 字段 |
文本 |
|
falco.output_fields.proc.pvpid |
保留的 Falco 字段 |
整数 |
|
falco.output_fields.proc.sid |
保留的 Falco 字段 |
整数 |
|
falco.output_fields.proc.sid.exe |
当前进程的会话 leader 的第一个命令行参数。 |
文本 |
|
falco.output_fields.proc.sid.exepath |
保留的 Falco 字段 |
文本 |
|
falco.output_fields.proc.sname |
保留的 Falco 字段 |
文本 |
|
falco.output_fields.proc.thread.cap_inheritable |
设置的继承能力集。 |
关键字 |
|
falco.output_fields.proc.tty |
进程的控制终端。 |
长整型 |
|
falco.output_fields.proc.vmrss |
进程的常驻非交换内存。 |
无符号长整型 |
byte |
falco.output_fields.proc.vmsize |
进程的总虚拟内存。 |
无符号长整型 |
byte |
falco.output_fields.proc.vmswap |
进程的交换内存。 |
无符号长整型 |
|
falco.output_fields.proc.vpgid |
保留的 Falco 字段 |
整数 |
|
falco.output_fields.proc.vpgid.exe |
当前进程的组 leader 的第一个命令行参数。 |
文本 |
|
falco.output_fields.proc.vpgid.exepath |
保留的 Falco 字段 |
文本 |
|
falco.output_fields.proc.vpgid.name |
保留的 Falco 字段 |
文本 |
|
falco.output_fields.proc.vpid |
保留的 Falco 字段 |
整数 |
|
falco.output_fields.process.group_leader.vpid |
保留的 Falco 字段 |
长整型 |
|
falco.output_fields.process.parent.pid |
保留的 Falco 字段 |
长整型 |
|
falco.output_fields.process.pid |
保留的 Falco 字段 |
长整型 |
|
falco.output_fields.process.session_leader.pid |
保留的 Falco 字段 |
长整型 |
|
falco.output_fields.proct.ppid.duration |
保留的 Falco 字段 |
文本 |
|
falco.output_fields.rule |
保留的 Falco 字段 |
文本 |
|
falco.output_fields.server.ip |
Falco 复制的同名 ECS 字段 |
IP |
|
falco.output_fields.source.ip |
Falco 复制的同名 ECS 字段 |
IP |
|
falco.output_fields.syslog.facility |
保留的 Falco 字段 |
文本 |
|
falco.output_fields.syslog.facility.str |
保留的 Falco 字段 |
文本 |
|
falco.output_fields.syslog.severity |
保留的 Falco 字段 |
文本 |
|
falco.output_fields.syslog.severity.str |
保留的 Falco 字段 |
文本 |
|
falco.output_fields.thread.cap_effective |
保留的 Falco 字段 |
文本 |
|
falco.output_fields.thread.cap_permitted |
保留的 Falco 字段 |
文本 |
|
falco.output_fields.thread.cgroups |
线程所属的 cgroup 的聚合字符串。 |
flattened |
|
falco.output_fields.thread.cpu |
线程在上一秒消耗的 CPU。 |
double |
|
falco.output_fields.thread.cpu_system |
线程在上一秒消耗的系统 CPU。 |
double |
|
falco.output_fields.thread.cpu_user |
线程在上一秒消耗的用户 CPU。 |
double |
|
falco.output_fields.thread.exectime |
上次调度的线程花费的 CPU 时间。 |
长整型 |
纳秒 |
falco.output_fields.thread.ismain |
表示生成事件的线程是否为进程中的主线程。 |
布尔值 |
|
falco.output_fields.thread.pfmajor |
线程启动以来的主要页面错误数。 |
无符号长整型 |
|
falco.output_fields.thread.pfminor |
线程启动以来的次要页面错误数。 |
无符号长整型 |
|
falco.output_fields.thread.tid |
保留的 Falco 字段 |
整数 |
|
falco.output_fields.thread.totalexectime |
当前线程自捕获开始以来的总 CPU 时间。 |
长整型 |
纳秒 |
falco.output_fields.thread.vmrss |
进程主线程的常驻非交换内存。非主线程将显示为零。 |
无符号长整型 |
|
falco.output_fields.thread.vmsize |
进程主线程的总虚拟内存。非主线程将显示为零。 |
无符号长整型 |
|
falco.output_fields.thread.vtid |
从当前 PID 命名空间看到的生成事件的线程 ID。 |
长整型 |
|
falco.output_fields.user.homedir |
用户的 Home 目录。 |
文本 |
|
falco.output_fields.user.loginname |
审计用户名。 |
关键字 |
|
falco.output_fields.user.loginuid |
审计用户 ID。如果遇到无效的 UID,则返回 -1。 |
长整型 |
|
falco.output_fields.user.name |
保留的 Falco 字段 |
文本 |
|
falco.output_fields.user.shell |
用户的 shell。 |
关键字 |
|
falco.output_fields.user.uid |
保留的 Falco 字段 |
整数 |
|
falco.priority |
Falco 警报优先级 |
关键字 |
|
falco.rule |
触发警报的 Falco 规则的名称 |
关键字 |
|
falco.source |
保留的 Falco 字段 |
关键字 |
|
falco.tags |
保留的 Falco 字段 |
关键字 |
|
falco.time |
保留的 Falco 字段 |
日期 |
|
falco.uuid |
保留的 Falco 字段 |
关键字 |
|
host.containerized |
如果主机是容器。 |
布尔值 |
|
host.os.build |
操作系统构建信息。 |
关键字 |
|
host.os.codename |
操作系统代号,如果有的话。 |
关键字 |
|
input.type |
输入类型 |
关键字 |
|
log.offset |
日志偏移量 |
长整型 |
|
log.source.address |
通过 TCP 输入收集时的日志源 |
关键字 |
|
process.group.id |
保留的 Falco 字段 |
文本 |
|
process.group.name |
保留的 Falco 字段 |
文本 |
Example
一个 alerts 的示例事件如下所示
{
"@timestamp": "2024-08-07T13:49:16.479Z",
"agent": {
"ephemeral_id": "e24920c4-6d15-4f8f-b432-f643a642b923",
"id": "3cce77a3-202d-48b6-955c-bde66f5021b2",
"name": "docker-fleet-agent",
"type": "filebeat",
"version": "8.14.1"
},
"container": {
"id": "2ae6a7f15b6e",
"name": "elastic-package-service-10413-falco-event-generator-1"
},
"data_stream": {
"dataset": "falco.alerts",
"namespace": "94205",
"type": "logs"
},
"ecs": {
"version": "8.0.0"
},
"elastic_agent": {
"id": "3cce77a3-202d-48b6-955c-bde66f5021b2",
"snapshot": false,
"version": "8.14.1"
},
"event": {
"agent_id_status": "verified",
"dataset": "falco.alerts",
"ingested": "2024-08-14T12:08:25Z",
"kind": "alert",
"original": "<5>2024-08-07T13:49:16Z a72f9a747cf8 Falco[1]: {\"uuid\":\"23716645-4d9d-4254-9429-2a287a9af199\",\"output\":\"2024-08-07T13:49:16.479964318+0000: Notice Shell spawned by untrusted binary (parent_exe=/tmp/falco-event-generator3282684109/httpd parent_exepath=/bin/event-generator pcmdline=httpd --loglevel info run ^helper.RunShell$ gparent=event-generator ggparent=containerd-shim aname[4]=containerd-shim aname[5]=init aname[6]=\\u003cNA\\u003e aname[7]=\\u003cNA\\u003e evt_type=execve user=root user_uid=0 user_loginuid=-1 process=bash proc_exepath=/bin/bash parent=httpd command=bash -c ls \\u003e /dev/null terminal=0 exe_flags=EXE_WRITABLE container_id=2ae6a7f15b6e container_name=elastic-package-service-10413-falco-event-generator-1)\",\"priority\":\"Notice\",\"rule\":\"Run shell untrusted\",\"time\":\"2024-08-07T13:49:16.479964318Z\",\"output_fields\":{\"container.id\":\"2ae6a7f15b6e\",\"container.name\":\"elastic-package-service-10413-falco-event-generator-1\",\"evt.arg.flags\":\"EXE_WRITABLE\",\"evt.time.iso8601\":1723038556479964318,\"evt.type\":\"execve\",\"proc.aname[2]\":\"event-generator\",\"proc.aname[3]\":\"containerd-shim\",\"proc.aname[4]\":\"containerd-shim\",\"proc.aname[5]\":\"init\",\"proc.aname[6]\":null,\"proc.aname[7]\":null,\"proc.cmdline\":\"bash -c ls \\u003e /dev/null\",\"proc.exepath\":\"/bin/bash\",\"proc.name\":\"bash\",\"proc.pcmdline\":\"httpd --loglevel info run ^helper.RunShell$\",\"proc.pexe\":\"/tmp/falco-event-generator3282684109/httpd\",\"proc.pexepath\":\"/bin/event-generator\",\"proc.pname\":\"httpd\",\"proc.tty\":0,\"user.loginuid\":-1,\"user.name\":\"root\",\"user.uid\":0},\"source\":\"syscall\",\"tags\":[\"T1059.004\",\"container\",\"host\",\"maturity_stable\",\"mitre_execution\",\"process\",\"shell\"],\"hostname\":\"e822ea6618ae\"}",
"provider": "syscall",
"timezone": "+00:00"
},
"event.category": [
"process"
],
"event.severity": 2,
"event.type": [
"start"
],
"falco": {
"hostname": "e822ea6618ae",
"output": "2024-08-07T13:49:16.479964318+0000: Notice Shell spawned by untrusted binary (parent_exe=/tmp/falco-event-generator3282684109/httpd parent_exepath=/bin/event-generator pcmdline=httpd --loglevel info run ^helper.RunShell$ gparent=event-generator ggparent=containerd-shim aname[4]=containerd-shim aname[5]=init aname[6]=<NA> aname[7]=<NA> evt_type=execve user=root user_uid=0 user_loginuid=-1 process=bash proc_exepath=/bin/bash parent=httpd command=bash -c ls > /dev/null terminal=0 exe_flags=EXE_WRITABLE container_id=2ae6a7f15b6e container_name=elastic-package-service-10413-falco-event-generator-1)",
"output_fields": {
"container": {
"id": "2ae6a7f15b6e",
"name": "elastic-package-service-10413-falco-event-generator-1"
},
"evt": {
"arg": {},
"time": {
"iso8601": 1723038556479
},
"type": "execve"
},
"proc": {
"cmdline": "bash -c ls > /dev/null",
"exepath": "/bin/bash",
"name": "bash",
"pcmdline": "httpd --loglevel info run ^helper.RunShell$",
"pexe": "/tmp/falco-event-generator3282684109/httpd",
"pexepath": "/bin/event-generator",
"pname": "httpd",
"tty": 0
},
"user": {
"loginuid": -1,
"name": "root",
"uid": "0"
}
},
"priority": "Notice",
"rule": "Run shell untrusted",
"source": "syscall",
"tags": [
"T1059.004",
"container",
"host",
"maturity_stable",
"mitre_execution",
"process",
"shell"
],
"time": "2024-08-07T13:49:16.479964318Z",
"uuid": "23716645-4d9d-4254-9429-2a287a9af199"
},
"falco.container.mounts": null,
"host": {
"architecture": "aarch64",
"containerized": false,
"hostname": "docker-fleet-agent",
"id": "bec788532d91483489ff64145e57effe",
"ip": [
"192.168.160.9"
],
"mac": [
"02-42-C0-A8-A0-09"
],
"name": "docker-fleet-agent",
"os": {
"codename": "focal",
"family": "debian",
"kernel": "6.6.12-linuxkit",
"name": "Ubuntu",
"platform": "ubuntu",
"type": "linux",
"version": "20.04.6 LTS (Focal Fossa)"
}
},
"input": {
"type": "tcp"
},
"log": {
"source": {
"address": "192.168.160.5:34984"
},
"syslog": {
"appname": "Falco",
"facility": {
"code": 0,
"name": "kernel"
},
"hostname": "a72f9a747cf8",
"priority": 5,
"procid": "1",
"severity": {
"code": 5,
"name": "Notice"
}
}
},
"observer": {
"hostname": "e822ea6618ae",
"product": "falco",
"type": "sensor",
"vendor": "sysdig"
},
"process": {
"command_line": "bash -c ls > /dev/null",
"executable": "/bin/bash",
"name": "bash",
"parent": {
"command_line": "httpd --loglevel info run ^helper.RunShell$",
"executable": "/bin/event-generator",
"name": "httpd"
},
"user": {
"id": "0",
"name": "root"
}
},
"related": {
"hosts": [
"e822ea6618ae"
]
},
"rule": {
"name": "Run shell untrusted"
},
"tags": [
"preserve_original_event",
"preserve_falco_fields"
],
"threat.technique.id": [
"T1059"
],
"threat.technique.subtechnique.id": [
"T1059.004"
]
}
变更日志
编辑变更日志
| 版本 | 详情 | Kibana 版本 |
|---|---|---|
1.2.0 |
增强功能 (查看拉取请求) |
8.13.3 或更高版本 |
1.1.1 |
错误修复 (查看拉取请求) 错误修复 (查看拉取请求) |
8.13.3 或更高版本 |
1.1.0 |
增强 (查看拉取请求) |
8.13.3 或更高版本 |
1.0.2 |
缺陷修复 (查看拉取请求) |
8.13.3 或更高版本 |
1.0.1 |
缺陷修复 (查看拉取请求) |
8.13.3 或更高版本 |
1.0.0 |
增强 (查看拉取请求) |
8.13.3 或更高版本 |
0.2.0 |
增强 (查看拉取请求) |
— |
0.1.1 |
缺陷修复 (查看拉取请求) |
— |
0.1.0 |
增强 (查看拉取请求) |
— |