监控linux系统调用并将其logging到文件的最快方法是什么? 这篇文章有一些很好的信息:
https://security.stackexchange.com/questions/8485/monitoring-system-calls-in-a-reliable-and-secure-way?lq=1
看起来审计子系统是要走的路,问题是,当你监视所有的系统调用( auditctl -a exit,always -S all )你的操作系统变得太不知所措,一切工作缓慢。 在audit.rules增加缓冲区大小没有多大帮助。
有没有其他方式可以提供合理的性能,不会窒息操作系统? 我正在考虑编写我自己的内核模块,它将使用LSM api来挂钩系统调用。 你认为它会做得更好,审计子系统(使用许多filter/格式,可能会增加不必要的开销)
检查perf和sysdig 。 用最小的系统影响进行固体反思。