Il runtime di CrowdSec ruota attorno ad alcuni semplici concetti:

  • vengono letti i log (file system, journald, docker, ecc);
  • i log vengono analizzati tramite parser;
  • i log normalizzati vengono confrontati con gli scenari;
  • quando uno scenario viene “attivato”, CrowdSec genera un avviso ed eventualmente una o più decisioni:
  • l’avviso viene tracciato e rimarrà anche dopo la scadenza della decisione;
  • la decisione d’altra parte, è di breve durata e indica quale azione dovrebbe essere intrapresa contro l’ip offensivo.
Continua a leggere