falcosecurity/event-generator Docker Image Overview

falcosecurity/event-generator

falcosecurity

用于模拟Falco可捕获事件的事件生成工具

1 次收藏下载次数: 0状态：社区镜像维护者：falcosecurity仓库类型：镜像最近更新：30 天前

轩辕镜像，快一点，稳很多。点击查看

中文简介版本下载

轩辕镜像，快一点，稳很多。点击查看

falco-event-generator 镜像文档

概述和主要用途

falco-event-generator 是一款用于模拟 Falco 可捕获事件的工具镜像。Falco 作为容器和主机级运行时安全监控工具，通过规则检测异常行为（如文件篡改、未授权进程执行、敏感网络连接等）。本镜像旨在生成各类符合 Falco 监控范围的模拟事件，帮助用户测试 Falco 规则有效性、验证安全监控配置，或演示 Falco 的检测能力。

核心功能和特性

多类型事件模拟：支持生成 Falco 核心关注的事件类型，包括但不限于：
- 文件系统访问（如敏感文件读取/写入、/etc/passwd 修改）
- 进程行为（如特权进程启动、异常二进制执行、容器逃逸尝试）
- 网络活动（如非预期端口连接、外部IP通信）
- 容器生命周期事件（如特权容器启动、挂载敏感主机目录）
自定义事件参数：可通过环境变量配置事件的具体属性（如目标文件路径、进程名称、网络目标IP等）。
可控事件生成：支持设置事件生成速率（每秒事件数）、持续时间，或单次触发特定事件。
轻量集成：无需复杂依赖，直接通过容器运行，可与现有 Falco 部署无缝配合（需确保 Falco 已监控目标环境）。

使用场景和适用范围

Falco 规则测试：验证自定义或默认规则是否能准确捕获目标事件，避免漏检或误报。
安全监控系统验证：在生产或测试环境中，验证 Falco 与告警渠道（如 Slack、Prometheus Alertmanager）的联动有效性。
培训与演示：在安全培训中模拟真实***场景，展示 Falco 的检测能力。
CI/CD 流程集成：作为自动化测试环节，在应用部署前验证 Falco 规则对新服务的覆盖性。
容器平台兼容性测试：验证 Falco 在不同 Kubernetes 版本、容器运行时（Docker、containerd）下的事件捕获能力。

使用方法和配置说明

拉取镜像

从容器仓库拉取最新版本镜像（假设仓库为 docker.io，实际请替换为真实仓库地址）：

bash
docker pull docker.io/falcosecurity/falco-event-generator:latest

基本使用（docker run 命令）

通过 docker run 直接启动容器，生成指定事件。以下为常见场景示例：

示例 1：生成单类型事件（如敏感文件写入）

模拟每秒写入 /etc/passwd 文件的事件，持续 30 秒：

bash
docker run --rm \
  -e EVENT_TYPE=file_write_sensitive \  # 事件类型：敏感文件写入
  -e TARGET_FILE=/etc/passwd \          # 目标文件路径
  -e RATE=2 \                           # 速率：每秒 2 个事件
  -e DURATION=30 \                      # 持续时间：30 秒
  docker.io/falcosecurity/falco-event-generator:latest

示例 2：生成混合事件（随机触发多种类型）

随机生成文件访问、进程执行、网络连接事件，默认速率（每秒 1 个），持续 60 秒：

bash
docker run --rm \
  -e EVENT_TYPE=all \                   # 事件类型：全部
  -e DURATION=60 \                      # 持续时间：60 秒
  docker.io/falcosecurity/falco-event-generator:latest

示例 3：针对 Kubernetes 环境的 Pod 事件

在 Kubernetes 集群中，模拟目标 Pod 内的异常进程执行（需确保容器可访问 Kubernetes API，或通过环境变量指定目标 Pod 名称）：

bash
docker run --rm \
  -e EVENT_TYPE=pod_process_exec \       # 事件类型：Pod 内进程执行
  -e TARGET_POD=test-pod-xxx \           # 目标 Pod 名称
  -e PROCESS_NAME=/bin/sh \              # 执行的进程路径
  -e NAMESPACE=default \                 # 目标 Pod 所在命名空间
  docker.io/falcosecurity/falco-event-generator:latest

Docker Compose 配置

通过 docker-compose.yml 定义服务，方便持久化配置或集成到多容器环境：

yaml
version: '3'
services:
  event-generator:
    image: docker.io/falcosecurity/falco-event-generator:latest
    environment:
      - EVENT_TYPE=all                   # 生成所有类型事件
      - RATE=3                           # 每秒 3 个事件
      - DURATION=120                     # 持续 120 秒
      - TARGET_NAMESPACE=monitoring      # 优先针对 monitoring 命名空间生成事件
    restart: "no"                        # 单次运行，完成后退出

启动服务：

bash
docker-compose up

配置参数说明

所有配置通过环境变量传递，支持以下参数：

环境变量	描述	可选值/示例	默认值
`EVENT_TYPE`	生成的事件类型（支持单个类型或 `all` 混合类型）	`file_write_sensitive`, `process_exec`, `network_connect`, `pod_escape`, `all`	`all`
`RATE`	事件生成速率（每秒事件数）	正整数（如 `1`, `5`, `10`）	`1`
`DURATION`	事件生成持续时间（秒），设为 `0` 时无限期运行	非负整数（如 `30`, `60`, `0`）	`60`
`TARGET_FILE`	针对文件类事件：目标文件路径	`/etc/passwd`, `/root/.ssh/id_rsa`	`/etc/passwd`
`PROCESS_NAME`	针对进程类事件：执行的进程路径	`/bin/sh`, `/usr/bin/curl`, `/tmp/malware`	`/bin/sh`
`NETWORK_TARGET`	针对网络类事件：目标 IP:端口	`192.168.1.1:8080`, `8.8.8.8:53`	`8.8.8.8:53`
`TARGET_POD`	针对 Kubernetes 事件：目标 Pod 名称（需与 `NAMESPACE` 配合）	`test-pod-xxx`, `nginx-deploy-yyy`	空（随机选择）
`NAMESPACE`	针对 Kubernetes 事件：目标 Pod 所在命名空间	`default`, `kube-system`, `monitoring`	`default`