Что самый быстрый способ отслеживать системные вызовы Linux и записывать их в файл? В этом посте есть отличная информация:
Кажется, что подсистема аудита - это правильный путь, проблема в том, что когда вы отслеживаете ВСЕ системные вызовы (auditctl -a exit,always -S all
) ваша ОС становится слишком загруженной, и все работает медленно. Увеличение размера буфера в audit.rules
мало помогло.
Есть ли другой способ обеспечить разумную производительность и не загромождать ОС? Я подумываю написать свой собственный модуль ядра, который будет использовать LSM api для перехвата системных вызовов. Как вы думаете, он будет работать лучше, чем подсистема аудита (которая использует множество фильтров / форматирования, которые могут добавить ненужные накладные расходы)