iLogtail

1769
下载
iLogtail 是阿里云日志服务(Log Service)中的一款高性能、可扩展的日志采集工具。它被设计用于实时收集、解析和传输各类日志数据,支持多种数据源和复杂的日志处理场景,广泛应用于分布式系统、Web 服务器、应用程序等环境中的日志管理。

eBPF网络安全数据


input_ebpf_network_security 插件

简介

input_ebpf_network_security插件可以实现利用ebpf探针采集网络安全相关动作。

版本

Dev

配置参数

参数类型是否必填默认值说明
Typestring/插件类型。固定为input_ebpf_network_security
ProbeConfig[object]ProbeConfig 默认包含一个 Option,其中包含一个默认取全部值的 CallNameFilter,其他 Filter 默认为空ProbeConfig 可以包含多个 Option, Option 内部有多个 Filter,Filter 内部是或的关系,Filter 之间是且的关系,Option 之间是或的关系
ProbeConfig[xx].CallNameFilter[string]该插件支持的所有 callname: [ tcp_connect tcp_close tcp_sendmsg ]内核挂载点过滤器,按照白名单模式运行,不填表示配置该插件所支持的所有挂载点
ProbeConfig[xx].AddrFilterobject/网络地址过滤器
ProbeConfig[xx].AddrFilter.DestAddrList[string]目的IP地址白名单,不填表示不进行过滤
ProbeConfig[xx].AddrFilter.DestPortList[string]目的端口白名单,不填表示不进行过滤
ProbeConfig[xx].AddrFilter.DestAddrBlackList[string]目的IP地址黑名单,不填表示不进行过滤
ProbeConfig[xx].AddrFilter.DestPortBlackList[string]目的端口黑名单,不填表示不进行过滤
ProbeConfig[xx].AddrFilter.SourceAddrList[string]源IP地址白名单,不填表示不进行过滤
ProbeConfig[xx].AddrFilter.SourcePortList[string]源端口白名单,不填表示不进行过滤
ProbeConfig[xx].AddrFilter.SourceAddrBlackList[string]源IP地址黑名单,不填表示不进行过滤
ProbeConfig[xx].AddrFilter.SourcePortBlackList[string]源端口黑名单,不填表示不进行过滤

样例

XXXX

  • 输入
TODO
  • 采集配置
enable: true
inputs:
- Type: input_ebpf_sockettraceprobe_security
ProbeConfig:
- CallNameFilter:
- "tcp_connect"
- "tcp_close"
AddrFilter:
DestAddrList:
- "10.0.0.0/8"
- "92.168.0.0/16"
DestPortList:
- 80
SourceAddrBlackList:
- "127.0.0.1/8"
SourcePortBlackList:
- 9300
- CallNameFilter:
- "tcp_sendmsg"
AddrFilter:
DestAddrList:
- "10.0.0.0/8"
- "92.168.0.0/16"
DestPortList:
- 80
flushers:
- Type: flusher_stdout
OnlyStdout: true
Tags: true
  • 输出
TODO

observability.cn Authors 2024 | Documentation Distributed under CC-BY-4.0
Copyright © 2017-2024, Alibaba. All rights reserved. Alibaba has registered trademarks and uses trademarks.
浙ICP备2021005855号-32