falcodump(1) – Linux manualsida

NAMN

falcodump – dumpa loggdata till en fil med hjälp av en Falco-källinsticksmodul

SYNOPSIS

Vanliga alternativ

falcodump [--help] [--version] [--plugin-api-version]
          [--extcap-interfaces] [--extcap-dlts]
          [--extcap-interface=<gränssnitt>]
          [--extcap-config]
          [--extcap-capture-filter=<fångstfilter>]
          [--capture]
          [--fifo=<sökväg till fil eller rör>]
          [--plugin-source=<källsökväg eller URL>]
          [--log-level=<loggnivå>]
          [--log-file=<sökväg till fil>]

CloudTrail-insticksmodulens alternativ

          [--cloudtrail-s3downloadconcurrency=<antal samtidiga hämtningar>]
          [--cloudtrail-s3interval=<tidsintervall>]
          [--cloudtrail-s3accountlist=<kommaseparerade konto-ID:n>]
          [--cloudtrail-sqsdelete=<true eller false>]
          [--cloudtrail-useasync=<true eller false>]
          [--cloudtrail-uses3sns=<true eller false>]
          [--cloudtrail-aws-region=<AWS-region>]
          [--cloudtrail-aws-profile=<AWS-profil>]
          [--cloudtrail-aws-config=<sökväg>]
          [--cloudtrail-aws-credentials=<sökväg till fil>]

BESKRIVNING

falcodump är ett extcap-verktyg som gör det möjligt att fånga loggmeddelanden från molnleverantörer.

Varje insticksmodul listas som ett separat gränssnitt. Kubernetes audit-insticksmodulen listas till exempel som ”k8saudit” och AWS CloudTrail-insticksmodulen listas som ”cloudtrail”.

ALTERNATIV

--help

Skriv ut programmets argument. Detta listar också konfigurationsargumenten för varje insticksmodul.

--version

Skriv ut programversionen.

--plugin-api-version

Skriv ut versionen för Falco-insticksmodulernas API.

--extcap-interfaces

Lista tillgängliga gränssnitt.

--extcap-interface=<gränssnitt>

Använd det angivna gränssnittet.

--extcap-dlts

Lista DLT:er för det angivna gränssnittet.

--extcap-config

Lista konfigurationsalternativen för det angivna gränssnittet.

--extcap-capture-filter=<fångstfilter>

Fångstfiltret. Det måste vara ett giltigt Sysdig- eller Falco-filter.

--capture

Starta fångst från källan som anges med --plugin-source via det angivna gränssnittet, och skriv rå paketdata till platsen som anges med --fifo.

--fifo=<sökväg till fil eller rör>

Spara fångade paket till en fil eller skicka dem genom ett rör.

--plugin-source=<källsökväg eller URL>

Fånga från den angivna platsen.

--log-level

Sätt loggnivån.

--log-file

Ange en loggfil där meddelanden ska loggas utöver konsolen.

INSTICKSMODULER

cloudtrail (AWS CloudTrail)

--cloudtrail-s3downloadconcurrency

Styr antalet bakgrunds-goroutiner som används för att hämta S3-filer. Standardvärdet är 32.

--cloudtrail-s3interval

Hämta loggfiler över det angivna intervallet. Standardvärdet är inget intervall.

--cloudtrail-s3accountlist

Om källan är en CloudTrail-S3-bucket för en organisation, hämta loggfiler för alla angivna konto-ID:n. Standardvärdet är inga konto-ID:n.

--cloudtrail-sqsdelete

Om värdet är sant tar insticksmodulen bort SQS-meddelanden från kön direkt efter att de har tagits emot. Standardvärdet är true.

--cloudtrail-useasync

Om värdet är sant aktiveras optimering för asynkron extrahering. Standardvärdet är true.

--cloudtrail-uses3sns

Om värdet är sant förväntar sig insticksmodulen att SNS-meddelanden kommer från S3 i stället för direkt från CloudTrail. Standardvärdet är false.

--cloudtrail-aws-profile

Om värdet inte är tomt åsidosätter det AWS delade konfigurationsprofil, till exempel ”default”, samt miljövariabler som AWS_PROFILE. Standardvärdet är tomt.

--cloudtrail-aws-region

Om värdet inte är tomt åsidosätter det AWS-regionen som anges i profilen, till exempel ”us-east-1”, samt miljövariabler som AWS_REGION. Standardvärdet är tomt.

--cloudtrail-aws-config

Om värdet inte är tomt åsidosätter det sökvägen till AWS delade konfigurationsfil, till exempel ~/.aws/config, samt miljövariabler som AWS_CONFIG_FILE. Standardvärdet är tomt.

--cloudtrail-aws-credentials

Om värdet inte är tomt åsidosätter det sökvägen till AWS delade autentiseringsfil, till exempel ~/.aws/credentials, samt miljövariabler som AWS_SHARED_CREDENTIALS_FILE. Standardvärdet är tomt.

CloudTrail-källor kan vara S3-buckets eller SQS-kö-URL:er. S3-bucket-URL:er har formen:

s3://bucket_name/prefix/AWSLogs/account-id/CloudTrail/region/year/month/day

För CloudTrail i en organisation kan S3-bucket-URL:en vara:

s3://bucket_name/prefix/AWSLogs/org-id/account-id/CloudTrail/region/year/month/day

Komponenterna region, year, month och day kan utelämnas för att hämta mer eller mindre data. Exempelvis hämtar källan

s3://mybucket/AWSLogs/012345678/CloudTrail/us-west-2/2023

alla CloudWatch-loggar för år 2023.

Om URL:en slutar med account-id/ eller account-id/CloudTrail/, till exempel

s3://mybucket/AWSLOGS/012345678912/

kan alternativet --cloudtrail-s3interval användas för att ange tidsramen. Ett s3interval på 1d hämtar exempelvis alla händelser från de senaste 24 timmarna från alla tillgängliga regioner. Ett s3interval på 2w-1w hämtar alla händelser från alla regioner från två veckor sedan fram till en vecka sedan. s3interval kan också anges som en tidsstämpel i RFC 3339-liknande format, till exempel:

2024-02-29T18:07:17Z
2024-02-29T00:00:00Z-2024-03-01T23:59:59Z

Om URL:en slutar med AWSLogs/org-id kan alternativet --cloudtrail-s3accountlist användas för att ange konto-ID:n. Detta kan kombineras med --cloudtrail-s3interval.

En källa som:

s3://my-org-bucket/AWSLogs/o-123abc/

med --cloudstrail-s3accountlist satt till:

123456789012,987654321098

och --cloudtrail-s3interval satt till:

30m

hämtar alla händelser från de senaste 30 minuterna från alla regioner för kontona 123456789012 och 987654321098.

Om käll-URL:en är organisationens CloudTrail-bucket, till exempel:

s3://my-org-bucket/AWSLogs/o-123abc

och --s3accountlist inte är satt, itererar insticksmodulen över alla konton, begränsat av --s3interval om det är satt. Observera: beroende på organisationens storlek och tidsintervallet kan detta ta lång tid.

CloudTrail-insticksmodulen använder AWS SDK för Go, som kan hämta inställningar för profil, region och autentiseringsuppgifter från standardiserade miljövariabler och konfigurationsfiler:

• https://aws.github.io/aws-sdk-go-v2/docs/configuring-sdk/

falcodump visar en lista över lokalt konfigurerade profiler och aktuella regioner, och låter dig även ange ett eget värde.

Mer information finns i README-filen för CloudTrail-insticksmodulen:

• https://github.com/falcosecurity/plugins/blob/master/plugins/cloudtrail/README.md

EXEMPEL

Visa programmets argument:

falcodump --help

Visa programversionen:

falcodump --version

Visa gränssnitt:

falcodump --extcap-interfaces

Endast ett gränssnitt, falcodump, stöds.

Exempel på utdata:

interface {value=cloudtrail}{display=Falco plugin}

Visa gränssnittets DLT:er:

falcodump --extcap-interface=cloudtrail --extcap-dlts

Exempel på utdata:

dlt {number=147}{name=cloudtrail}{display=USER0}

Visa gränssnittets konfigurationsalternativ:

falcodump --extcap-interface=cloudtrail --extcap-config

Exempel på utdata:

arg {number=0}{call=--plugin-source}{display=Plugin source}{type=string}{tooltip=The plugin data source. This us usually a URL.}{placeholder=Enter a source URL…}{required=true}{group=Capture}
arg {number=1}{call=cloudtrail-s3downloadconcurrency}{display=s3DownloadConcurrency}{type=integer}{default=1}{tooltip=Controls the number of background goroutines used to download S3 files (Default: 1)}{group=Capture}
arg {number=2}{call=cloudtrail-sqsdelete}{display=sqsDelete}{type=boolean}{default=true}{tooltip=If true then the plugin will delete sqs messages from the queue immediately after receiving them (Default: true)}{group=Capture}
arg {number=3}{call=cloudtrail-useasync}{display=useAsync}{type=boolean}{default=true}{tooltip=If true then async extraction optimization is enabled (Default: true)}{group=Capture}

Fånga AWS CloudTrail-händelser från en S3-bucket:

falcodump --extcap-interface=cloudtrail --fifo=/tmp/cloudtrail.pcap --plugin-source=s3://aws-cloudtrail-logs.../CloudTrail/us-east-2/... --capture

Alternativ form:

falcodump --capture --extcap-interface cloudtrail --fifo ~/cloudtrail.pcap --plugin-source s3://my-cloudtrail-bucket/AWSLogs/o-abc12345/123456789012/ --cloudtrail-s3downloadconcurrency 32 --cloudtrail-s3interval 5d-2d --cloudtrail-aws-region eu-west-1

Observera: använd Ctrl+C för att stoppa fångsten, så att avslutningen sker rent.

SE ÄVEN

• stratoshark(1)
• strato(1)
• dumpcalls(1)
• dumpcap(1)
• extcap(4)

NOTERINGAR

falcodump är en del av distributionen Stratoshark.

Den senaste versionen av Stratoshark finns på:

• https://www.wireshark.org

HTML-versioner av Wireshark-projektets manualsidor finns på:

• https://www.wireshark.org/docs/man-pages

FÖRFATTARE

Ursprunglig författare:

• Gerald Combs <gerald[AT]wireshark.org>

KOLOFON

Den här sidan är en del av projektet wireshark, ett projekt för att interaktivt dumpa och analysera nätverkstrafik.

Information om projektet finns på:

• https://www.wireshark.org/

Felrapporter för denna manualsida kan skickas via:

• https://gitlab.com/wireshark/wireshark/-/issues

Denna sida hämtades från projektets uppströms Git-arkiv:

• https://gitlab.com/wireshark/wireshark.git

Sidan hämtades den 16 januari 2026. Vid den tidpunkten var datumet för den senaste commit som hittades i arkivet den 16 januari 2026.

Om du upptäcker renderingsproblem i denna HTML-version av sidan, känner till en bättre eller mer uppdaterad källa, eller har rättelser eller förbättringar av informationen i denna kolofon, som inte är en del av den ursprungliga manualsidan, skicka e-post till:

• man-pages@man7.org

Sidinformation

Manualsidans datum: 15 januari 2026.

HTML-renderingen skapades den 16 januari 2026 av Michael Kerrisk, författare till The Linux Programming Interface.

Mer information om Linux- och UNIX-systemprogrammeringskurser finns på:

• https://man7.org/training/

Sidslut

Orginalhemsidan på Engelska https://man7.org/linux/man-pages/man1/falcodump.1.html Det här är en maskinöversättning av Linux man sidor till svenska. Om du hittar fel är vi tacksamma om du rapporterar dem via formuläret som finns på https://www.linux.se/kontaka-linux-se/

Tack till Datorservice som har sponsrat Linux.se med webbhotell.