Комментарии 3
Да ладно?
Парсвер подвёл — тогда вот ссылка на наглядную картину «углов тёмной комнаты»
http://www.brendangregg.com/Perf/linux_observability_tools.png
С его помощью можно получать много ценной информации о работе системы, которую невозможно получить с помощью других инструментов.
Парсвер подвёл — тогда вот ссылка на наглядную картину «углов тёмной комнаты»
http://www.brendangregg.com/Perf/linux_observability_tools.png
Я эту картинку прекрасно знаю. Более того, мы в одной из предыдущих публикаций её уже использовали.
Если говорит о Sysdig, то он собирает информацию абсолютно обо всём и с его помощью можно сделать то, для чего в других условиях потребовалось бы несколько инструментов. Он сразу показывает то, что с помощью других инструментов нужно ещё «нарыть».
А ещё он отличается гибкостью и низким порогом вхождения (синтаксис тех же правил и фильтров очень прост).
Что касается Falco, то он умеет гораздо больше, чем другие инструменты для аудита безопасности, а ещё даёт гораздо более подробную и человекопонятную информацию.
Если говорит о Sysdig, то он собирает информацию абсолютно обо всём и с его помощью можно сделать то, для чего в других условиях потребовалось бы несколько инструментов. Он сразу показывает то, что с помощью других инструментов нужно ещё «нарыть».
А ещё он отличается гибкостью и низким порогом вхождения (синтаксис тех же правил и фильтров очень прост).
Что касается Falco, то он умеет гораздо больше, чем другие инструменты для аудита безопасности, а ещё даёт гораздо более подробную и человекопонятную информацию.
Я поставил falco с параметрами по умолчанию, Ubuntu 16.04 LTS.
С такими настройками он генерирует предупреждения на каждый чих. И непонятно, надо ли отключать такое поведение, так как хотя я и не хочу получать письма при каждой вроде бы невинной операции, но сообщение об этой же операции может в будущем пояснить что произошло с сервером. То есть нужны какие-то дополнительные фильтры. Хотелось бы узнать о реальном опыте эксплуатации в течении какого-то времени.
С такими настройками он генерирует предупреждения на каждый чих. И непонятно, надо ли отключать такое поведение, так как хотя я и не хочу получать письма при каждой вроде бы невинной операции, но сообщение об этой же операции может в будущем пояснить что произошло с сервером. То есть нужны какие-то дополнительные фильтры. Хотелось бы узнать о реальном опыте эксплуатации в течении какого-то времени.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Мониторинг безопасности с Sysdig Falco