[前言]
Tracee 是一個用 於 Linux 的執行時安全和取證工具。它使用 Linux eBPF 技術在執行時跟蹤系統和應用程式,並分析收集的事件以檢測可疑的行為模式。本篇對於Tracee這open source project進行了編譯與初步測試,在此做個筆記以防忘記。後續將針對源碼進行分析。
Github 位置為: https://github.com/aquasecurity/tracee
[Tracee相關文件資源]
網路上已經有不少的相關文件資源可以參考,在此不重覆贅述,如下所示:
- 裡面有提到 tracee 這種僅使用ebpf系統調用做入侵檢測的技術路線還不夠成熟~