auditd

来自百合仙子's Wiki

跳转到导航跳转到搜索

记录系统调用

auditctl -a always,exit -F arch=x86_64 -S connect

注意：auditd 并不会自动把类似的系统调用合并，比如 accept 和 accept4 是有区分的。

查看

ausearch -sc connect -i -ts recent

性能影响

Linux 2.6.32-642, Intel(R) Xeon(R) CPU E5-2660 v2 @ 2.20GHz 上，getpid 系统调用耗时：

	耗时	变化率
关闭 auditd	190ns	1
开启 auditd，无规则	220ns	1.1
开启 auditd，一条 connect 规则	250ns	1.3
开启 auditd，一条 getpid 规则	10000ns ~ 15000ns	60

参见

ftrace

取自“http://r.lilydjwg.me/w/index.php?title=Auditd&oldid=1251”

分类：