我想从k8 pod捕获所有系统调用。
Sysdig支持**-k**标志,用于指定kuberneteskubectlapi的url。
kubectl proxy --port=8080 &
我想过滤名为“mypod”的特定k8 pod的系统调用
sudo sysdig -k http://127.0.0.1:8080 k8s.pod.name=mypod
使用这个过滤器没有捕获到任何事件。同样值得注意的是,我是从主节点运行这个sysdig命令的,而'mypod'是在另一台属于k8集群的工作机上运行的。
我错过了什么?
1条答案
按热度按时间wnavrhmk1#
Sysdig OSS应该在您要监视的进程/容器所在的同一台计算机上运行。
如果你试图过滤发生在另一个节点上的系统调用,这将是不可能的,因为一个进程从不调用另一台机器的内核。
Sysdig OSS,像Falco一样,在内核级工作来监控系统调用。如果你试图监控K8S审计事件,那就不同了,因为它们被发送到插件套接字。