Конфигурация eBPF

Конфигурация eBPF коллектора во многом схожа с конфигурациями прочих коллекторов, различие состоит лишь в блоке collector:

collector:
  type: ebpf
  value:
    # Размер буфера perf buffer в eBPF. Должен быть степенью двойки.
    perf-buffer-size: 1024
    # Настройки, относящиеся к событиям контейнерных сред.
    containers:
      # Использовать сокеты сред для запуска контейнеров для обогащения событий, относящихся к контейнерам.
      enrich-with-container-info: false
      # Настройки конкретной среды запуска контейнеров (имя и путь к сокету).
      # Пример:
      #   - name: docker
      #     socket: /var/run/docker.sock
      runtimes: []
    # Настройки, относящиеся к кэшированию событий eBPF и помогающие снизить потери в ядре при высоком количестве событий.
    cache:
      # Тип кэширования: none (отсутствует), memory (кэш в оперативной памяти)
      type: none
      # Размер кэша в мегабайтах.
      size: 0
    # Настройки, относящиеся к системе возможностей Linux. В большинстве случаев запуск коллектора
    # от лица суперпользователя является приемлемым и более легким, но для большей безопасности можно настроить возможности коллектора.
    capabilities:
      # Не убирать возможности во время исполнения.
      bypass: false
      # Добавить возможности к сохраняемым в течение всего времени исполнения.
      add: []
      # Убрать возможности из сохраняемых в течение всего времени исполнения.
      drop: []
    # Настройки, относящиеся к захвату артефактов.
    capture:
      # Путь к директории, где хранятся захваченные артефакты.
      output-path: /tmp/komrad/ebpf-collector/out
      # Размер буфера perf buffer в eBPF, использующийся для захвата артефактов. Должен быть степенью двойки.
      blob-perf-buffer-size: 1024
      # Настройки захвата для записи файлов. Когда в какой-либо файл происходит запись, содержимое
      # файла захватывается (если данная возможность активирована).
      write:
        # Захватывать содержимое файлов, в которые производится запись.
        capture: false
        # Фильтры для префиксов путей к файлам. Пример: /path/prefix*
        path: []
        # Возможный тип файла. Значения: 'regular', 'pipe', 'socket', 'stdin', 'stdout', 'stderr'.
        # Тип 'std*' означает, что будет захватываться содержимое соответствующего стандартного потока процессов.
        type: []
      # Настройки захвата для считываемых файлов. Когда из какого-либо файла происходит чтение, содержимое
      # файла захватывается (если данная возможность активирована). Все поля эквивалентны полям в секции для записи.
      read:
        capture: false
        path: []
        type: []
      # Захватывать загружаемые модули ядра.
      kernel-module: false
      # Захватывать исполняемые бинарные файлы.
      executed-file: false
      # Захватывать участки памяти, измененные распаковщиком памяти. Захват срабатывает,
      # когда защита памяти меняется с записи-исполнения (Write+Execute) на запись (Write).
      memory-regions: false
      # Захватывать байткод загружаемых BPF программ.
      bpf-programs: false
      # Настройки захвата сетевого трафика.
      network:
        # Захватывать сетевой трафик.
        capture: false
        # Захватывать только трафик, относящийся к заданным фильтрам событий (т.е., политикам). Если стоит значение false,
        # захватывает весь трафик вне зависимости от фильтров.
        filtered: true
        # Размер захватываемых данных из каждого пакета.
        packet-length: 86