Назад | Перейти на главную страницу

Мониторинг системных вызовов Linux (эффективно)

Что самый быстрый способ отслеживать системные вызовы Linux и записывать их в файл? В этом посте есть отличная информация:

https://security.stackexchange.com/questions/8485/monitoring-system-calls-in-a-reliable-and-secure-way?lq=1

Кажется, что подсистема аудита - это правильный путь, проблема в том, что когда вы отслеживаете ВСЕ системные вызовы (auditctl -a exit,always -S all) ваша ОС становится слишком загруженной, и все работает медленно. Увеличение размера буфера в audit.rules мало помогло.

Есть ли другой способ обеспечить разумную производительность и не загромождать ОС? Я подумываю написать свой собственный модуль ядра, который будет использовать LSM api для перехвата системных вызовов. Как вы думаете, он будет работать лучше, чем подсистема аудита (которая использует множество фильтров / форматирования, которые могут добавить ненужные накладные расходы)

Проверять, выписываться перфоманс и sysdig. Надежный самоанализ с минимальным воздействием на систему.