主要观点：

• Stratoshark 源于 Sysdig 和 Falco 等早期开源项目，延续了网络数据包分析与现代云原生安全的联系。
• Falco 利用 libscap 与内核通信，其规则引擎受 Snort 启发，专注于系统调用检测异常。
• Sysdig 结合 libscap 和 libsinsp 提供系统行为的深入可见性，Falco 不依赖 Sysdig 但利用其相关库。
• Stratoshark 可通过 falcodump 捕获云提供商的日志消息，在 Linux 系统上支持本地系统调用捕获，可使用现有 SCAP 捕获文件或连接到 AWS 等。

关键信息：

• 众多工具基于 libpcap 等库，如 Wireshark 依靠 libpcap 进行网络分析，Snort 基于 libpcap 构建网络入侵检测规则引擎。
• Falco 作为运行时安全工具，专注于系统调用检测，与 Snort 在依赖捕获库方面有相似之处。
• Stratoshark 利用 libscap 和 libsinsp ，通过插件扩展到云原生环境，提供类似 Wireshark 的用户界面。
• 可通过 Sysdig OSS 或 Docker 容器获取 SCAP 文件，Stratoshark 可打开现有 SCAP 文件或连接到远程 syscall 服务器。

重要细节：

• Falco 运行于用户空间，使用 libscap 与内核通信。
• Stratoshark 安装在 Windows 和 MacOS 上时不支持本地系统调用捕获，需在 Linux 系统上构建。
• 可通过特定命令安装 Sysdig OSS ，并使用 timeout 命令获取短时间的系统调用捕获。
• Stratoshark 界面中可使用事件过滤器搜索特定类型的事件，如查找与 cURL 相关的出站连接请求。
• 可通过特定筛选条件在 Stratoshark 中突出显示系统调用失败的活动。

总结：Stratoshark 融合了传统网络安全与云原生环境的需求，通过利用开源项目的成果，为系统监控和故障排查提供了便捷的工具和方法。