はじめに Kubernetesの監査ログといえばKubernetes Audit Loggingを利用した、Kubernetes API に対してのリクエストログの事を指します。 しかし、監査ログとして「いつ」「だれが」「何をしたか」を確認するためにはpod内で実行されたコマンドもログとして取得する必要があると感じています。 そこで、今回は kubectl exec 等でpod内で実行されたコマンドをログ取得する方法としてFalcoを検証してみました。 Falcoとは? Falcoの公式ページにて下記の紹介があります。 Falcoは、アプリケーションの異常なアクティビティを検出するように設計されたビヘイビアアクティビティモニタです。もともとSysdigによって構築されたパワフルなシステムコールキャプチャテクノロジーを使用します。Falcoでは、1組の[ルール]を使用して、コンテナ、アプリケ