attr_dissector_fn_t
[wireshark-sm.git] / doc / stratoshark-quick-start.adoc
blob90ca8f274ad7a50ad334b4b4b3546e8645aa1ee1
1 = Stratoshark Quick Start
3 Stratoshark is a sibling application for Wireshark which focuses on system calls and log messages.
4 It helps people understand, troubleshoot, and secure their systems via system calls and log messages similar to the way Wireshark helps people understand, troubleshoot, and secure their networks via packets.
6 This document provides brief instructions for obtaining, using, and building Stratoshark until more complete documentation comparable to the Wireshark Developer’s and User’s Guides can be written.
8 == Getting Stratoshark
10 You can get Windows and macOS development packages from https://www.wireshark.org/download/automated/.
11 Native system call captures aren't yet supported on those platforms, but they do come with the https://github.com/falcosecurity/plugins/blob/main/plugins/cloudtrail/README.md[CloudTrail plugin], which can pull AWS CloudTrail logs from an S3 bucket or SQS/SNS.
13 If you wish to use Stratoshark on Linux you will have to built it yourself.
14 Instructions for doing that can be found in the <<building_stratoshark,Building Stratoshark>> section below.
16 == Using Stratoshark
18 Stratoshark shares a great deal of code with Wireshark, including most of its UI elements.
19 If you are familiar with Wireshark, its interface and workflows should be familiar.
21 One issue that you might run into initially is that system calls and logs deal with different information.
22 As a result, the event list column preferences need to be configured to match the kind of data that you are analyzing.
23 Stratoshark's default configuration profile assumes that you are analyzing system calls.
24 It ships with a "Cloudtrail" configuration profile which is geared toward CloudTrail events.
25 You can find more information on working with configuration profiles in the https://www.wireshark.org/docs/wsug_html_chunked/ChCustConfigProfilesSection.html[Configuration Profiles] section in the Wireshark User's Guide.
26 If you switch back and forth between system call and CloudTrail captures on a regular basis, you might find the "Automatic Profile Switching" feature useful.
28 You can obtain system call captures using the https://github.com/draios/sysdig[sysdig command line tool] or by using Stratoshark on a Linux system.
30 The https://gitlab.com/wireshark/wireshark/-/blob/master/doc/falcodump.adoc[falcodump manpage] provides information how to use Falco Plugin extcap interface.
32 == Building Stratoshark[[building_stratoshark]]
34 Stratoshark requires the same build environment as Wireshark.
35 See the https://www.wireshark.org/docs/wsdg_html_chunked/[Wireshark Developer’s Guide] for instructions on setting that up.
37 It additionally requires libsinsp and libscap from https://github.com/falcosecurity/libs/[falcosecurity/libs] and any desired plugins from https://github.com/falcosecurity/plugins/[falcosecurity/plugins].
39 In order to build Stratoshark, do the following:
41 1. https://falco.org/docs/getting-started/source/[Build falcosecurity/libs].
43 2. Build any desired https://github.com/falcosecurity/plugins/[Falco plugins] and copy them somewhere, such as `/usr/local/lib/falcosecurity/plugins`.
45 3. Build the Wireshark sources with the following CMake options:
48 [horizontal]
49 BUILD_stratoshark:: Must be enabled, e.g. set to ON
50 BUILD_falcodump:: Must be enabled, e.g. set to ON
51 CMAKE_PREFIX_PATH:: If you installed libsinsp and libscap to a non-standard directory, https://cmake.org/cmake/help/latest/variable/CMAKE_PREFIX_PATH.html[this should point there].
52 FALCO_PLUGINS:: Semicolon-separated paths to individual Falco plugins, e.g. `/path/to/libcloudtrail.so`.
55 .Example 1: Building on Linux using Make
56 [sh]
57 ----
58 # This assumes that falcosecurity-libs and the CloudTral plugin were installed in
59 # `/opt/falco-libs/0.17.1`.
60 cmake \
61   -DBUILD_stratoshark=ON \
62   -DBUILD_falcodump=ON \
63   -DCMAKE_PREFIX_PATH=/opt/falco-libs/0.17.1 \
64   -DFALCO_PLUGINS=/opt/falco-libs/0.17.1/lib/falcosecurity/plugins/libcloudtrail.so \
65   ..
66 make -j $(getconf _NPROCESSORS_ONLN)
67 ----
70 If you want to add other Falco plugins later you can copy them to a `falco` subfolder in the Global Plugins folder. The path to the Global Plugins folder is shown in the About Stratoshark Folders dialog.