ഫാൽക്കോ 0.8.0 മുതൽ, ഡീഫോൾട്ട് നിയമഫയലിൻറെയും പ്രാദേശിക നിയമഫയലിൻറെയും ധാരണയെ ഫാൽക്കോ ഔദ്യോഗികമായി പിന്തുണക്കുന്നു. മുൻപ് ഇത് പിന്തുണച്ചിരുന്നത് ഒന്നിലധികം -r ആർഗ്യുമെൻറുകൾ ഉപയോഗിച്ച് ഫാൽക്കോ റൺ ചെയ്തുകൊണ്ടായിരുന്നു. 0.8.0 എന്നതിൽ, ഫാൽക്കോയുടെ പെരുമാറ്റം കസ്റ്റമൈസ് ചെയ്യുകയും എന്നാൽ സോഫ്റ്റ്വെയർ നവീകരണത്തിൻറെ ഭാഗമായി നിയമമാറ്റങ്ങളിലേക്കുള്ള ആക്സസ്സ് നിലനിർത്തുകയും ചെയ്യുന്നത് എളുപ്പമാക്കാനാണ് ഞങ്ങൾ ഈ ധാരണയെ ഔപചാരികമാക്കുന്നത്. തീർച്ചയായും, falco.yaml എന്നതിലെ rules_file ഓപ്ഷൻ മാറ്റിക്കൊണ്ട് നിങ്ങൾക്ക് വായിക്കേണ്ട ഫയലുകളുടെ കൂട്ടത്തെ എപ്പോഴും കസ്റ്റമൈസ് ചെയ്യാവുന്നതാണ്.

ഡീഫോൾട്ട് നിയമഫയലാണ് എപ്പോഴും ആദ്യം വായിക്കപ്പെടുന്നത്, അതിനെ തുടർന്നാണ് പ്രാദേശിക നിയമഫയൽ.

rpm/debian പാക്കേജുകൾ വഴി ഇൻസ്റ്റാൾ ചെയ്തുകഴിഞ്ഞ്, രണ്ട് നിയമഫയലുകളും, ഫാൽക്കോ ക്രമീകരണഫയലും, "config" ഫയലുകൾ എന്ന് ഫ്ലാഗ് ചെയ്യുന്നു, അതായത് നവീകരിച്ചിട്ടുണ്ടെങ്കിൽ, പാക്കേജ് അപ്ഗ്രേഡ്/അൺ ഇൻസ്റ്റാൾ ചെയ്യുമ്പോൾ അവ ഓവർറൈഡ് ചെയ്യപ്പെടുന്നില്ല.

ഡീഫോൾട്ട് നിയമഫയൽ

ഡീഫോൾട്ട് ഫാൽക്കോ നിയമഫയൽ /etc/falco/falco_rules.yaml എന്നിടത്ത് ഇൻസ്റ്റാൾ ചെയ്യപ്പെടുന്നു. വ്യത്യസ്ത സാഹചര്യങ്ങളിൽ മികച്ച കവറേജ് ലഭ്യമാക്കുന്നതിനായി രൂപകൽപ്പന ചെയ്ത മുൻകൂട്ടി നിർവചിച്ച ഒരു കൂട്ടം നിയമങ്ങൾ ഇത് ഉൾക്കൊള്ളുന്നു. ഈ നിയമഫയൽ നവീകരിക്കാതിരിക്കുകയും ഓരോ പുതിയ സോഫ്റ്റ്വെയർ വേർഷനുകൾ ഉപയോഗിച്ച് അവ പുനഃസ്ഥാപിക്കുകയും ആണ് ഉദ്ദേശം.

പ്രാദേശിക നിയമഫയൽ

പ്രാദേശിക ഫാൽക്കോ നിയമഫയൽ /etc/falco/falco_rules.local.yamlഎന്നിടത്ത് ഇൻസ്റ്റാൾ ചെയ്യപ്പെടുന്നു. ചില കമൻറുകൾക്ക് പുറമെ, ഇത് ശൂന്യമാണ്. പ്രധാന നിയമഫയലിലേക്കുള്ള കൂട്ടിച്ചേർക്കലുകൾ/ഓവർറൈഡുകൾ/നവീകരണങ്ങൾ ഈ പ്രാദേശിക ഫയലിലേക്ക് കൂട്ടിച്ചേർത്തിരിക്കുന്നു എന്നതാണ് ഉദ്ദേശം. അത് ഓരോ പുതിയ സോഫ്റ്റ്വെയർ വേർഷൻ ഉപയോഗിച്ച് പുനഃസ്ഥാപിക്കപ്പെടുന്നതല്ല.