コンテンツにスキップ

Sophos Linux Sensor のコンテナのランタイムの可視性

Sophos Linux Sensor (SLS) は、ホスト上での可視性のレベルが異なります。これには、コンテナテテクノロジーを実行しているホストに SLS を導入する場合も含まれます。SLS はほとんどのイベントをカーネルレベルで収集し、cgroups や名前空間の使用など、カーネルによって隔離されたコンテナテクノロジーを可視化します。

SLS が見ることができるイベントは、使用されているコンテナランタイムに依存します。

Docker

SLS は、コンテナやイメージ名などのコンテナメタデータイベントを Docker Engine デーモンから収集します。SLSは privileged container was created などのコンテナ内のイベントやコンテナイベント、メタデータを可視化します。SLS によって、どのプロセスがどのコンテナにあるかを知ることができます。

CRI-O および containerd

SLS は Kubernetes Container Runtime インターフェース (CRI) を使ったメタデータの収集をサポートしています。デフォルトでは、SLS は次の CRI ソケットを検索します。

  • /var/run/containerd/containerd.sock
  • /var/run/crio/crio.sock
  • /var/run/cri-dockerd.sock
  • /var/run/dockershim.sock

runc が基盤となる Open Container Initiative (OCI) ランタイムである場合、SLS はコンテナ内のイベントを可視化できます。Kubernetes のような CRI インターフェースを介して作成されたコンテナのコンテナイベントとメタデータのみを可視化できます。

CRI-O および containerd を使用した SLS のインストールの詳細については、CRI-O と containerd を使用した SLS のインストールを参照してください。

仮想化

仮想化を使用するコンテナテクノロジーは、SLS がそれらのコンテナ内でイベントを収集するのを阻止します。これらの環境では、SLS はコンテナイベントとメタデータを可視化できますが、コンテナ内で発生するアクティビティは可視化できません。