Что самый быстрый путь состоит в том, чтобы контролировать системные вызовы Linux и зарегистрировать их в файл? Это сообщение имеет некоторую большую информацию:
Это, кажется, что Контрольная подсистема является способом пойти, проблема - это при контроле ВСЕХ системных вызовов (auditctl -a exit,always -S all
) Ваша ОС становится слишком разбитой, и все работает медленное. Увеличение размера буфера в audit.rules
не помог многому.
Есть ли какой-либо другой путь, который даст разумную производительность и не будет дросселировать ОС? Я думаю о записи моего собственного Модуля Ядра, который будет использовать API LSM для сцепления системных вызовов. Вы думаете, что это добьется большего успеха затем контрольная подсистема (который использует много фильтров/форматирований, которые могли бы добавить ненужные издержки),