по аналогии с tcpdump/wireshark

Можно в том числе делать мониторинг с тчоки зрения безопасности - например написать правило что выдать ворнинг если кто-то открыл соединение не на дозволенные IP

или кто-то запустил баш

На вопрос про Overhead они решили показать свою собственную метрику :)

на контейнере 0.1% CPU usage

здесь в примере - 1.44% на dragent

их

Агент написан на Сях

и стараются оптимизировать под скорость

для отправки данных - компрессия, поэтому 10-50 кб в секунду в среднем

но зависит от нагрузки

Модуль ядра тоже старается быть быстрым и делать только то что нужно

На стороне юзерспейса агент подбирает фильтры чтобы снизить оверхед

и иногда применяет downsample чтобы опять же записывать каждый энный эвент

это тоже помогает

Они делают retention'ы - обычно что-то в духе 10секунд на 6 часов, минута на недели и т.п.

очень много retention'ов

(доклад закончился)

(жалко что эта штука не OpenSource и что доклад все же больше реклама)

В последний день я решил пойти на нечто под названием Open Source Storage Summit