由k8吊舱触发的系统

Question

我想从一个k8吊舱捕获所有系统调用。

Sysdig支持-k标志来为kubernetes kubectl指定一个url。我使用下面的kubectl代理命令公开了kubectl api

kubectl proxy --port=8080 &

我想过滤系统调用的一个特定的k8荚名为'mypod‘

sudo sysdig -k http://127.0.0.1:8080 k8s.pod.name=mypod

使用此筛选器不会捕获任何事件。还值得注意的是，我是从主节点运行这个sysdig命令的，并且“mypod”运行在一个不同的工作机器上，它是k8集群的一部分。

我遗漏了什么？

Answer 1

Sysdig应该运行在要监视的进程/容器所在的同一台机器上。

如果您试图过滤发生在另一个节点上的系统，这是不可能的，因为一个进程从不调用另一台机器的内核。

Sysdig，像Falco一样，在内核级别工作来监视syscalls。如果您试图监视K8S审计事件，则这些事件会有所不同，因为它们被发送到插件套接字。