Un projet de plus au catalogue open source d’IBM.

Sous la bannière SysFlow, le groupe américain promeut un format de données relationnel orienté objet destiné à favoriser la télémétrie.

Reposant sur Apache Avro, SysFlow modélise, sous la forme d’événements et de flux, les relations entre trois types d’entités : conteneurs, processus et fichiers.

Cette abstraction fonctionne de manière similaire au protocole NetFlow de Cisco pour les communications réseau.

D’une part, elle réduit la quantité de données à analyser. De l’autre, elle apporte un contexte qui permet de mieux appréhender les événements.

IBM a développé un pipeline fondé sur ce format de données.

Il permet, grâce à des API Python et C++, de déployer de tâches de télémétrie et d’exporter des enregistrements vers des services de stockage objet.

SysFlow se déploie en conteneurs (via Docker et Kubernetes ; prise en charge d’OpenShift prévue) et sur des hôtes Linux (testé sur Ubuntu 16.04 et 18.04). On peut paramétrer le niveau d’abstraction en fonction des ressources disponibles et des besoins d’analyse. Le tout sans nécessité d’instrumentation du code, ni d’interposition des appels système.