sysflowtelemetry/sf-collector

支持的标签及对应的 Dockerfile 链接

• https://github.com/sysflow-telemetry/sf-collector/blob/0.7.0/Dockerfile%EF%BC%8Chttps://github.com/sysflow-telemetry/sf-collector/blob/master/Dockerfile%EF%BC%8Chttps://github.com/sysflow-telemetry/sf-collector/blob/dev/Dockerfile

快速参考

• 文档： SysFlow 文档

• 获取帮助： SysFlow 社区 Slack

• 问题反馈： https://github.com/sysflow-telemetry/sysflow/issues%EF%BC%88%E9%9C%80%E5%8C%85%E5%90%AB sf-collector 标签）

• 描述来源： https://github.com/sysflow-telemetry/sf-collector/edit/master/README.md%EF%BC%88https://github.com/sysflow-telemetry/sf-collector/commits/master%EF%BC%89

• Docker 镜像： https://hub.docker.com/u/sysflowtelemetry | https://github.com/orgs/sysflow-telemetry/packages

• 二进制包： https://github.com/sysflow-telemetry/sf-collector/releases/tag/0.7.0/sfcollector-0.7.0-x86_64.deb | https://github.com/sysflow-telemetry/sf-collector/releases/tag/0.7.0/sfcollector-0.7.0-x86_64.rpm | https://github.com/sysflow-telemetry/sf-collector/releases/tag/0.7.0/sfcollector-0.7.0-x86_64.tar.gz

什么是 SysFlow？

SysFlow 遥测管道是一个用于监控云工作负载和创建性能与安全分析的框架。该项目旨在构建系统遥测所需的所有基础组件，使用户能够专注于在可扩展的开源平台上编写和共享分析。遥测管道的核心是一种名为 SysFlow 的新数据格式，它将原始系统事件信息转换为描述进程行为及其与容器、文件和网络关系的抽象格式。这种对象关系格式高度紧凑，同时提供对容器云的广泛可见性。还提供了多个 API，允许用户使用其偏好的工具包处理 SysFlow。更多信息请参见 SysFlow 规范文档。

SysFlow 框架包含以下子项目：

• https://github.com/sysflow-telemetry/sf-apis%EF%BC%9A%E6%8F%90%E4%BE%9B SysFlow 模式和 Go、Python、C++ 的编程 API。
• https://github.com/sysflow-telemetry/sf-collector%EF%BC%9A%E7%9B%91%E6%8E%A7%E5%B9%B6%E6%94%B6%E9%9B%86%E4%B8%BB%E6%9C%BA%E7%9A%84%E7%B3%BB%E7%BB%9F%E8%B0%83%E7%94%A8%E5%92%8C%E4%BA%8B%E4%BB%B6%E4%BF%A1%E6%81%AF%EF%BC%8C%E5%B9%B6%E4%BD%BF%E7%94%A8 Apache Avro 对象序列化以 SysFlow 格式导出。
• https://github.com/sysflow-telemetry/sf-processor%EF%BC%9A%E6%8F%90%E4%BE%9B%E6%80%A7%E8%83%BD%E4%BC%98%E5%8C%96%E7%9A%84%E7%AD%96%E7%95%A5%E5%BC%95%E6%93%8E%EF%BC%8C%E7%94%A8%E4%BA%8E%E5%A4%84%E7%90%86%E3%80%81%E4%B8%B0%E5%AF%8C%E3%80%81%E8%BF%87%E6%BB%A4 SysFlow 事件，生成告警，并将处理后的数据导出到各种目标。
• https://github.com/sysflow-telemetry/sf-exporter%EF%BC%9A%E5%B0%86 SysFlow 跟踪数据导出到兼容 S3 的存储系统以进行归档。
• https://github.com/sysflow-telemetry/sf-deployments%EF%BC%9A%E5%8C%85%E5%90%AB SysFlow 的部署包，包括 Docker、Helm 和 OpenShift。
• https://github.com/sysflow-telemetry/sysflow%EF%BC%9ASysFlow 框架的文档仓库和问题跟踪器。

关于此镜像

此镜像包含 SysFlow Collector，用于监控并收集主机的系统调用和事件信息，并使用 Apache Avro 对象序列化以 SysFlow 格式导出。SysFlow Collector 依赖 https://github.com/falcosecurity/libs 被动采集系统事件并将其转换为 SysFlow 格式。完整选项集请参见 安装和使用。

如何使用此镜像

启动收集探针

运行 SysFlow 收集器的最简单方法是通过 Docker 容器，并挂载主机目录用于输出跟踪文件。以下命令展示如何运行 sf-collector，并将跟踪文件导出到主机的 /mnt/data 目录：

bash
docker run -d --privileged --name sf-collector \
            -v /var/run/docker.sock:/host/var/run/docker.sock \
            -v /dev:/host/dev \
            -v /proc:/host/proc:ro \
            -v /boot:/host/boot:ro \
            -v /lib/modules:/host/lib/modules:ro \
            -v /usr:/host/usr:ro \
            -v /etc/:/host/etc:ro \
            -v /var/lib:/host/var/lib:ro \
            -v /mnt/data:/mnt/data \
            -e INTERVAL=60 \
            -e EXPORTER_ID=${HOSTNAME} \
            -e OUTPUT=/mnt/data/    \
            -e FILTER="container.name!=sf-collector and container.name!=sf-processor and container.name!=sf-exporter" \
            --rm sysflowtelemetry/sf-collector

其中：

• INTERVAL：生成新跟踪文件的时间间隔（秒）。
• EXPORTER_ID：设置导出器名称。
• OUTPUT：跟踪文件写入的目录。
• FILTER：用于过滤收集事件的表达式。注意：在 FILTER 表达式后追加 container.type!=host 可过滤主机事件。

docker compose、helm 和 oc 的部署说明参见 此处。此外，也可使用发布页面中的二进制安装程序安装 SysFlow Collector。

检查收集的跟踪数据

提供了 命令行工具 用于检查收集的跟踪数据，或将 SysFlow 的紧凑二进制格式转换为人类可读的 JSON 或 CSV 格式。

bash
docker run --rm -v /mnt/data:/mnt/data sysflowtelemetry/sysprint /mnt/data/<trace>

其中 <trace> 是 /mnt/data 中的跟踪文件名。若未指定，将处理 /mnt/data 中的所有文件。默认情况下，跟踪数据会输出到标准输出，并包含默认的 SysFlow 属性集。完整选项列表可通过以下命令查看：

bash
docker run --rm -v /mnt/data:/mnt/data sysflowtelemetry/sysprint  -h

许可

查看此镜像中包含的软件的 https://github.com/sysflow-telemetry/sf-collector/blob/master/LICENSE.md%E3%80%82

与所有 Docker 镜像一样，这些镜像可能还包含其他软件，这些软件可能采用其他许可（如基础发行版中的 Bash 等，以及包含的主要软件的任何直接或间接依赖项）。

对于任何预构建镜像的使用，镜像用户有责任确保对本镜像的任何使用都符合其中包含的所有软件的相关许可。