Confira perf e sysdig . Introspecção sólida com impacto mínimo no sistema.
Qual é a maneira mais rápida de monitorar as chamadas do sistema linux e registrá-las em um arquivo? Este post tem ótimas informações:
Parece que o subsistema de Auditoria é o caminho a percorrer. O problema é que, quando você monitora TODAS as chamadas do sistema ( auditctl -a exit,always -S all ), seu sistema operacional fica muito sobrecarregado e tudo funciona devagar.
Aumentar o tamanho do buffer em audit.rules não ajudou muito.
Existe alguma outra maneira que proporcione desempenho razoável e não sufoque o sistema operacional? Estou pensando em escrever meu próprio módulo de kernel que usará a API do LSM para ligar as chamadas do sistema. Você acha que será melhor que o subsistema de auditoria (que usa muitos filtros / formatações que podem adicionar sobrecarga desnecessária)
Tags monitoring linux audit