编写测试程序,内部调用系统调用,或者比较简单的方式,对sshd进程进行性能分析。
采用第二种方式进行分析:
找到要监控性能的进程的pid;
不开启auditd监控规则, 使用strace开始测试
启动检测
sudo strace -c -p 7344
上传文件 linux_kernel_2-6-11-12_comment.tar.bz2
上传完毕, ctrl +c 终止。
这个过程产生了好几种类型的syscall。
我们现在开启auditd规则,使用auditctl -a always,exit -F arch=b64 -S read,write -F pid=7344
对read write 进行审计。
重复上面的步骤
可以看出auditd对read、write的性能有很大的影响,增加28~30 usecs/call overhead。
也可以对select进行监控测试;
可以看出 只要auditd对syscall进行审计,就增加27-30 usecs/call overhead
strace也可以跟踪子进程:
strace -f