Usando o Stratoshark para analisar syscalls do Azure
Depois de instalar o Stratoshark, você verá a interface de usuário familiar do Wireshark, embora agora com novas opções. Assim como o Wireshark, o Stratoshark foi projetado para fornecer o que o criador do Wireshark, Gerald Combs, chama de “uma verdade básica”. Ao capturar syscalls, você pode ver quando seu código abre arquivos, faz conexões de rede, usa as principais bibliotecas do sistema e muito mais.
Por enquanto, a ferramenta de captura requer Linux, mas à medida que a comunidade começa a se desenvolver em torno do Stratoshark, é provável que ganhe suporte para outros sistemas operacionais, incluindo o Windows. O suporte do Windows para eBPF deve ajudar aqui, embora com um número considerável de cargas de trabalho do Azure em execução no Linux, seja útil de qualquer maneira.
As capturas são feitas usando Falco’s libscap e libsinsp ferramentas, bem como a linha de comando sysdig ferramentas via SSH. Libscap captura e armazena os syscalls dos sistemas monitorados, com libsinsp fornecendo ferramentas para analisar eventos, filtrar e formatar saídas para uso em aplicações como Stratoshark. Abaixo das bibliotecas estão os módulos do kernel (onde você pode instalá-los) e testes eBPF. Serviços de nuvem como o Azure não permitem que você instale seus próprios módulos de kernel, a menos, é claro, que você esteja hospedando serviços em suas próprias construções de VM personalizadas.
