Как убрать игнорируемое событие «запись» для отлова буфера sdtout?

Question

Как убрать игнорируемое событие «запись» для отлова буфера sdtout?

Правило:

      - rule: stdout
  desc: stdout test
  condition: fd.num=1 and evt.is_io=true and evt.type=write
  output: "pid=%proc.pid %proc.ppid %proc.cmdline %evt.args %evt.buffer %evt.rawarg.data"
  priority: INFO
  tags: [stdout]

<strong>Ошибка Falco уведомлена:</strong>

      [root@host ~]# service falco start
Starting falco (via systemctl):                            [  OK  ]
[root@host ~]# journalctl -fu falco
Apr 09 14:17:39 10-9-4-88 falco[33336]: Fri Apr  9 14:17:39 2021: Loading rules from file /etc/falco/falco_rules.local.yaml:
Apr 09 14:17:39 10-9-4-88 falco[33344]: Runtime error: Error loading rules: /usr/share/falco/lua/sinsp_rule_utils.lua:30: Ignored event "write" in rule: std_out. Exiting.

Я искал falco , но не нашел нужного мне метода. надеюсь, что кто-нибудь опубликует связанные предложения.

0

falco

Источник

09 апр '21 в 12:32

0 ответов

Другие вопросы по тегам falco