是什么最快的监控 Linux 系统调用并将它们记录到文件中的方法?这篇文章有一些很棒的信息:
看来审计子系统是可行的,问题是当您监控所有系统调用(auditctl -a exit,always -S all)时,您的操作系统会变得不堪重负,一切都会变得缓慢。增加缓冲区大小并audit.rules没有多大帮助。
有没有其他方法可以提供合理的性能并且不会阻塞操作系统?我正在考虑编写自己的内核模块,该模块将使用 LSM api 来挂接系统调用。你认为它会比审计子系统更好吗(它使用许多过滤器/格式,可能会增加不必要的开销)