Что является причиной многократного срабатывания правил?

Я создал локальную тестовую среду с помощью minikube для тестирования пользовательских правил falco.

Цель состоит в том, чтобы найти ключевые слова в пространстве имен и именах модулей и установить для них приоритет Info, чтобы их можно было отфильтровать в Kibana.

Ниже приведены пользовательские макросы и правила, которые я написал:

      - macro: ns_contains_whitelist_terms
  condition: k8s.ns.name = monitoring or k8s.ns.name = jenkins

- macro: pod_name_contains_whitelist_terms
  condition: >
    (k8s.pod.name startswith meseeks or
    k8s.pod.name startswith jenkins or
    k8s.pod.name startswith wazuh)
    
- rule: priority_whitelist_ns_alert
  desc: add an Info priority to the monitoring and jenkins namespaces
  condition: ns_contains_whitelist_terms
  output: "Namespace is jenkins or monitoring findme1" 
  priority: INFO
  tag: whitelist
  
- rule: priority_whitelist_pod_name_alert
  desc: add an Info priority to pods that start with wazuh, jenkins or meseeks
  condition: pod_name_contains_whitelist_terms
  output: "Pod name starts with wazuh, jenkins or meseeks findme2"
  priority: INFO
  tag: whitelist

Я создал пространства имен и модули для проверки правил, и они срабатывают, когда я этого ожидаю (например, когда запускается falco, когда я создаю оболочки или взаимодействую с модулями).

Однако оповещения срабатывают неоднократно, иногда сотни за раз, поэтому вывод, когда я выполняю grep для журналов, выглядит примерно так, как показано в этом примере .

Из любопытства я подсчитал количество строк различных предупреждений о правилах при возникновении разных событий и отметил, что они не совпадают. См. таблицу ниже:

Единственные две причины, которые я могу придумать, чтобы эти правила срабатывали так много раз, это

1. Я неправильно написал правила, или
2. В фоновом режиме происходят события (не инициированные мной напрямую), которые вызывают повторное срабатывание правил.

Я считаю, что 2 более вероятно, но буду признателен всем, кто может подтвердить, что правила, которые я написал, выглядят нормально, или у кого есть другие идеи.