Monitorando as chamadas do sistema Linux (de forma eficiente)

2

Qual é a maneira mais rápida de monitorar as chamadas do sistema linux e registrá-las em um arquivo? Este post tem ótimas informações:

link

Parece que o subsistema de Auditoria é o caminho a percorrer. O problema é que, quando você monitora TODAS as chamadas do sistema ( auditctl -a exit,always -S all ), seu sistema operacional fica muito sobrecarregado e tudo funciona devagar. Aumentar o tamanho do buffer em audit.rules não ajudou muito.

Existe alguma outra maneira que proporcione desempenho razoável e não sufoque o sistema operacional? Estou pensando em escrever meu próprio módulo de kernel que usará a API do LSM para ligar as chamadas do sistema. Você acha que será melhor que o subsistema de auditoria (que usa muitos filtros / formatações que podem adicionar sobrecarga desnecessária)

    
por Community 12.03.2015 / 13:26

1 resposta

2

Confira perf e sysdig . Introspecção sólida com impacto mínimo no sistema.

    
por 12.03.2015 / 23:54