Kapitel 3. Die Architektur von Falco verstehen

Willkommen zu Teil II des Buches! In Teil I hast du gelernt, was Falco ist und was es kann. Du hast dir auch einen Überblick über die Architektur verschafft, Falco auf deinem Computer installiert und es ausprobiert. Jetzt ist es an der Zeit, dein Spiel zu verbessern!

In diesem Teil des Buches (Kapitel 3 bis 8) werden wir uns mit dem Innenleben von Falco befassen. Du erfährst mehr über die Architektur von Falco, seine Hauptkomponenten und wie die Daten zwischen ihnen fließen. Wir zeigen dir, wie Falco mit dem Kernel des Betriebssystems und mit den Cloud-Logs zusammenarbeitet, um Daten zu sammeln, und wie diese Daten mit Kontext und Metadaten angereichert werden. Kapitel 6 führt dich dann in das wichtige Thema Felder und Filter ein, während du in Kapitel 7 mehr über Falco-Regeln erfährst. Zum Abschluss von Teil II sprechen wir über das Output-Framework, ein Schlüsselelement von Falco.

Musst du dich wirklich mit den Interna von Falco beschäftigen, um es zu bedienen? Die Antwort lautet wie so oft im Leben: "Es kommt darauf an". Wenn es dein Ziel ist, Falco in der Standardkonfiguration einzusetzen und deinem Chef zu zeigen, dass es funktioniert, kannst du diesen Teil des Buches wahrscheinlich getrost auslassen. Wenn du das tust, werden jedoch einige Dinge schwierig und andere unmöglich. In den Teilen III ...