デフォルトおよびローカルルールファイル
Falco 0.8.0から、falcoは_default_ルールファイルと_local_ルールファイルの概念を正式にサポートしています。これは以前、複数の-r引数を指定してfalcoを実行することでサポートされていました。0.8.0では、この概念を正式化して、Falcoの動作を簡単にカスタマイズできるようにしますが、ソフトウェアアップグレードの一部としてルール変更へのアクセスを保持します。もちろん、 falco.yamlのrules_fileオプションを変更することで、読みたいファイルのセットをいつでもカスタマイズできます。
デフォルトのルールファイルが常に最初に読み取られ、次にローカルルールファイルが読み取られます。
rpm/debianパッケージを介してインストールすると、両方のルールファイルとfalco設定ファイルに"config"ファイルのフラグが付けられます。つまり、変更してもパッケージのアップグレード/アンインストールで上書きされません。
デフォルトのルールファイル
デフォルトのFalcoルールファイルは /etc/falco/falco_rules.yamlにインストールされます。これには、さまざまな状況で適切なカバレッジを提供するように設計された、事前定義された一連のルールが含まれています。このルールファイルは変更されず、新しいソフトウェアバージョンごとに置き換えられることが意図されています。
ローカルルールファイル
ローカルのFalcoルールファイルは /etc/falco/falco_rules.local.yamlにインストールされます。一部のコメント以外は空です。その意図は、メインルールファイルへの追加/オーバーライド/変更がこのローカルファイルに追加されることです。新しいソフトウェアバージョンごとに置き換えられることはありません。
Was this page helpful?
Let us know! You feedback will help us to improve the content and to stay in touch with our users.
Glad to hear it! Please tell us how we can improve.
Sorry to hear that. Please tell us how we can improve.