falcodump(1)

Från Wiki.linux.se -Linux wikipedia på Svenska.
Hoppa till navigering Hoppa till sök

falcodump(1) – Linux manualsida

NAMN

falcodump – dumpa loggdata till en fil med hjälp av en Falco-källinsticksmodul

SYNOPSIS

Vanliga alternativ

falcodump [--help] [--version] [--plugin-api-version]
          [--extcap-interfaces] [--extcap-dlts]
          [--extcap-interface=<gränssnitt>]
          [--extcap-config]
          [--extcap-capture-filter=<fångstfilter>]
          [--capture]
          [--fifo=<sökväg till fil eller rör>]
          [--plugin-source=<källsökväg eller URL>]
          [--log-level=<loggnivå>]
          [--log-file=<sökväg till fil>]

CloudTrail-insticksmodulens alternativ

          [--cloudtrail-s3downloadconcurrency=<antal samtidiga hämtningar>]
          [--cloudtrail-s3interval=<tidsintervall>]
          [--cloudtrail-s3accountlist=<kommaseparerade konto-ID:n>]
          [--cloudtrail-sqsdelete=<true eller false>]
          [--cloudtrail-useasync=<true eller false>]
          [--cloudtrail-uses3sns=<true eller false>]
          [--cloudtrail-aws-region=<AWS-region>]
          [--cloudtrail-aws-profile=<AWS-profil>]
          [--cloudtrail-aws-config=<sökväg>]
          [--cloudtrail-aws-credentials=<sökväg till fil>]

BESKRIVNING

falcodump är ett extcap-verktyg som gör det möjligt att fånga loggmeddelanden från molnleverantörer.

Varje insticksmodul listas som ett separat gränssnitt. Kubernetes audit-insticksmodulen listas till exempel som ”k8saudit” och AWS CloudTrail-insticksmodulen listas som ”cloudtrail”.

ALTERNATIV

--help
Skriv ut programmets argument. Detta listar också konfigurationsargumenten för varje insticksmodul.
--version
Skriv ut programversionen.
--plugin-api-version
Skriv ut versionen för Falco-insticksmodulernas API.
--extcap-interfaces
Lista tillgängliga gränssnitt.
--extcap-interface=<gränssnitt>
Använd det angivna gränssnittet.
--extcap-dlts
Lista DLT:er för det angivna gränssnittet.
--extcap-config
Lista konfigurationsalternativen för det angivna gränssnittet.
--extcap-capture-filter=<fångstfilter>
Fångstfiltret. Det måste vara ett giltigt Sysdig- eller Falco-filter.
--capture
Starta fångst från källan som anges med --plugin-source via det angivna gränssnittet, och skriv rå paketdata till platsen som anges med --fifo.
--fifo=<sökväg till fil eller rör>
Spara fångade paket till en fil eller skicka dem genom ett rör.
--plugin-source=<källsökväg eller URL>
Fånga från den angivna platsen.
--log-level
Sätt loggnivån.
--log-file
Ange en loggfil där meddelanden ska loggas utöver konsolen.

INSTICKSMODULER

cloudtrail (AWS CloudTrail)

--cloudtrail-s3downloadconcurrency
Styr antalet bakgrunds-goroutiner som används för att hämta S3-filer. Standardvärdet är 32.
--cloudtrail-s3interval
Hämta loggfiler över det angivna intervallet. Standardvärdet är inget intervall.
--cloudtrail-s3accountlist
Om källan är en CloudTrail-S3-bucket för en organisation, hämta loggfiler för alla angivna konto-ID:n. Standardvärdet är inga konto-ID:n.
--cloudtrail-sqsdelete
Om värdet är sant tar insticksmodulen bort SQS-meddelanden från kön direkt efter att de har tagits emot. Standardvärdet är true.
--cloudtrail-useasync
Om värdet är sant aktiveras optimering för asynkron extrahering. Standardvärdet är true.
--cloudtrail-uses3sns
Om värdet är sant förväntar sig insticksmodulen att SNS-meddelanden kommer från S3 i stället för direkt från CloudTrail. Standardvärdet är false.
--cloudtrail-aws-profile
Om värdet inte är tomt åsidosätter det AWS delade konfigurationsprofil, till exempel ”default”, samt miljövariabler som AWS_PROFILE. Standardvärdet är tomt.
--cloudtrail-aws-region
Om värdet inte är tomt åsidosätter det AWS-regionen som anges i profilen, till exempel ”us-east-1”, samt miljövariabler som AWS_REGION. Standardvärdet är tomt.
--cloudtrail-aws-config
Om värdet inte är tomt åsidosätter det sökvägen till AWS delade konfigurationsfil, till exempel ~/.aws/config, samt miljövariabler som AWS_CONFIG_FILE. Standardvärdet är tomt.
--cloudtrail-aws-credentials
Om värdet inte är tomt åsidosätter det sökvägen till AWS delade autentiseringsfil, till exempel ~/.aws/credentials, samt miljövariabler som AWS_SHARED_CREDENTIALS_FILE. Standardvärdet är tomt.

CloudTrail-källor kan vara S3-buckets eller SQS-kö-URL:er. S3-bucket-URL:er har formen: 

s3://bucket_name/prefix/AWSLogs/account-id/CloudTrail/region/year/month/day

För CloudTrail i en organisation kan S3-bucket-URL:en vara: 

s3://bucket_name/prefix/AWSLogs/org-id/account-id/CloudTrail/region/year/month/day

Komponenterna region, year, month och day kan utelämnas för att hämta mer eller mindre data. Exempelvis hämtar källan 

s3://mybucket/AWSLogs/012345678/CloudTrail/us-west-2/2023

alla CloudWatch-loggar för år 2023.

Om URL:en slutar med account-id/ eller account-id/CloudTrail/, till exempel 

s3://mybucket/AWSLOGS/012345678912/

kan alternativet --cloudtrail-s3interval användas för att ange tidsramen. Ett s3interval1d hämtar exempelvis alla händelser från de senaste 24 timmarna från alla tillgängliga regioner. Ett s3interval2w-1w hämtar alla händelser från alla regioner från två veckor sedan fram till en vecka sedan. s3interval kan också anges som en tidsstämpel i RFC 3339-liknande format, till exempel: 

2024-02-29T18:07:17Z
2024-02-29T00:00:00Z-2024-03-01T23:59:59Z

Om URL:en slutar med AWSLogs/org-id kan alternativet --cloudtrail-s3accountlist användas för att ange konto-ID:n. Detta kan kombineras med --cloudtrail-s3interval.

En källa som: 

s3://my-org-bucket/AWSLogs/o-123abc/

med --cloudstrail-s3accountlist satt till: 

123456789012,987654321098

och --cloudtrail-s3interval satt till: 

30m

hämtar alla händelser från de senaste 30 minuterna från alla regioner för kontona 123456789012 och 987654321098.

Om käll-URL:en är organisationens CloudTrail-bucket, till exempel: 

s3://my-org-bucket/AWSLogs/o-123abc

och --s3accountlist inte är satt, itererar insticksmodulen över alla konton, begränsat av --s3interval om det är satt. Observera: beroende på organisationens storlek och tidsintervallet kan detta ta lång tid.

CloudTrail-insticksmodulen använder AWS SDK för Go, som kan hämta inställningar för profil, region och autentiseringsuppgifter från standardiserade miljövariabler och konfigurationsfiler:

falcodump visar en lista över lokalt konfigurerade profiler och aktuella regioner, och låter dig även ange ett eget värde.

Mer information finns i README-filen för CloudTrail-insticksmodulen:

EXEMPEL

Visa programmets argument: 

falcodump --help

Visa programversionen: 

falcodump --version

Visa gränssnitt: 

falcodump --extcap-interfaces

Endast ett gränssnitt, falcodump, stöds.

Exempel på utdata: 

interface {value=cloudtrail}{display=Falco plugin}

Visa gränssnittets DLT:er: 

falcodump --extcap-interface=cloudtrail --extcap-dlts

Exempel på utdata: 

dlt {number=147}{name=cloudtrail}{display=USER0}

Visa gränssnittets konfigurationsalternativ: 

falcodump --extcap-interface=cloudtrail --extcap-config

Exempel på utdata: 

arg {number=0}{call=--plugin-source}{display=Plugin source}{type=string}{tooltip=The plugin data source. This us usually a URL.}{placeholder=Enter a source URL…}{required=true}{group=Capture}
arg {number=1}{call=cloudtrail-s3downloadconcurrency}{display=s3DownloadConcurrency}{type=integer}{default=1}{tooltip=Controls the number of background goroutines used to download S3 files (Default: 1)}{group=Capture}
arg {number=2}{call=cloudtrail-sqsdelete}{display=sqsDelete}{type=boolean}{default=true}{tooltip=If true then the plugin will delete sqs messages from the queue immediately after receiving them (Default: true)}{group=Capture}
arg {number=3}{call=cloudtrail-useasync}{display=useAsync}{type=boolean}{default=true}{tooltip=If true then async extraction optimization is enabled (Default: true)}{group=Capture}

Fånga AWS CloudTrail-händelser från en S3-bucket: 

falcodump --extcap-interface=cloudtrail --fifo=/tmp/cloudtrail.pcap --plugin-source=s3://aws-cloudtrail-logs.../CloudTrail/us-east-2/... --capture

Alternativ form: 

falcodump --capture --extcap-interface cloudtrail --fifo ~/cloudtrail.pcap --plugin-source s3://my-cloudtrail-bucket/AWSLogs/o-abc12345/123456789012/ --cloudtrail-s3downloadconcurrency 32 --cloudtrail-s3interval 5d-2d --cloudtrail-aws-region eu-west-1

Observera: använd Ctrl+C för att stoppa fångsten, så att avslutningen sker rent.

SE ÄVEN

NOTERINGAR

falcodump är en del av distributionen Stratoshark.

Den senaste versionen av Stratoshark finns på:

HTML-versioner av Wireshark-projektets manualsidor finns på:

FÖRFATTARE

Ursprunglig författare:

  • Gerald Combs <gerald[AT]wireshark.org>

KOLOFON

Den här sidan är en del av projektet wireshark, ett projekt för att interaktivt dumpa och analysera nätverkstrafik.

Information om projektet finns på:

Felrapporter för denna manualsida kan skickas via:

Denna sida hämtades från projektets uppströms Git-arkiv:

Sidan hämtades den 16 januari 2026. Vid den tidpunkten var datumet för den senaste commit som hittades i arkivet den 16 januari 2026.

Om du upptäcker renderingsproblem i denna HTML-version av sidan, känner till en bättre eller mer uppdaterad källa, eller har rättelser eller förbättringar av informationen i denna kolofon, som inte är en del av den ursprungliga manualsidan, skicka e-post till:

  • man-pages@man7.org

Sidinformation

Manualsidans datum: 15 januari 2026.

HTML-renderingen skapades den 16 januari 2026 av Michael Kerrisk, författare till The Linux Programming Interface.

Mer information om Linux- och UNIX-systemprogrammeringskurser finns på:

Sidslut

Orginalhemsidan på Engelska https://man7.org/linux/man-pages/man1/falcodump.1.html Det här är en maskinöversättning av Linux man sidor till svenska. Om du hittar fel är vi tacksamma om du rapporterar dem via formuläret som finns på https://www.linux.se/kontaka-linux-se/

Tack till Datorservice som har sponsrat Linux.se med webbhotell.

Hämtad från "https://wiki.linux.se/index.php?title=falcodump(1)&oldid=9414"