strace 对auditd监控的系统调用syscall性能分析

最新推荐文章于 2024-04-13 09:56:16 发布
最新推荐文章于 2024-04-13 09:56:16 发布
阅读量802 收藏
点赞数
分类专栏: 安全 linux audit
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/guoguangwu/article/details/100083391
版权

编写测试程序,内部调用系统调用,或者比较简单的方式,对sshd进程进行性能分析。

采用第二种方式进行分析:

找到要监控性能的进程的pid;

不开启auditd监控规则, 使用strace开始测试

启动检测

sudo strace -c -p 7344

上传文件 linux_kernel_2-6-11-12_comment.tar.bz2

上传完毕, ctrl +c 终止。

 

这个过程产生了好几种类型的syscall。

我们现在开启auditd规则,使用auditctl -a always,exit -F arch=b64 -S read,write -F pid=7344

对read write 进行审计。

重复上面的步骤

可以看出auditd对read、write的性能有很大的影响,增加28~30 usecs/call  overhead。

也可以对select进行监控测试;

可以看出 只要auditd对syscall进行审计,就增加27-30 usecs/call  overhead

 

strace也可以跟踪子进程:

strace -f

guoguangwu
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
linux之strace命令监控某段时间内系统函数调用syscall)情况
河北强商网络科技有限公司官方博客
02-02 1483
linux之strace命令监控某段时间内系统函数调用syscall)情况 strace 监控某段时间内系统调用命令(监控系统调用syscall系列函数,这些函数用于用户空间程序调用内核空间程序的桥梁,内核空间的程序具体执行与硬件的通信,如驱动程序都在内核空间执行)调用情况,包括调用次数,消耗时间等,从开启开始监控,结束命令则结束监控,输出这段时间的监控情况 案例: [root@localhos...
用strace跟踪系统调用
brk@syscall.cn
08-20 1859
之前有新同事在问,strace的时候怎么样过滤掉某些系统调用, 这里简单总结下,希望对新同事有参考作用   部分跟踪举例: 1.     只跟踪epoll_wait和gettimeofday,其他系统调用通通过滤掉,可以这样: strace -e trace=epoll_wait,gettimeofday(逗号分隔) 2.     过滤epoll_wait和gettimeo
使用audit工具常规命令监控系统访问文件
weixin_33915554的博客
10-26 962
audit工具的作用 audit工具可以对文件使用进行监控,可以监控是哪个进程对文件进行读写执行和atrribute属性修改。在常规运维中有很多作用。 audit工具的安装和启动 Ubuntu使用apt-get audit。centos使用yum install audit 下面命令enable和启动、停止a...
Strace出现syscall: unknown syscall trap 0xe8bd8008
Android/Linux的专栏
02-28 2499
在ARM平台用strace调试应用程序,strace出现问题,就算调用"strace ls",也会出现类似标题一样的错误,一开始调试的是一个静态库程序,还以为是静态库导致的呢。出现这个问题胡乱Google了一通,就甩那不管了,吃玩一会回来,仔细想想,并进行了退化式调试,这个strace有问题,这个是的直接在网上下载的,以前也用过,不过知道为什么这个时候出现了问题。因为在嵌入式linux下运行也会有
auditd审计syscall操作
skdouble的专栏
06-10 1569
title: auditd审计syscall操作 1.linux内核需要打开CONFIG_AUDIT和CONFIG_AUDITSYSCALL选项,系统启动时会运行内核任务kauditd 2.用户态通过安装auditd安装包,启动auditd服务来接收内核模块的审计日志信息,记录到/var/log/audit/audit.log文件中 audit可以配置规则,这个规则是给内核模块下发的,内核kauditd模块会按照这个规则获取审计信息,发送给auditd来记录日志 规则类型可以分为: a、控制规则:控制au.
strace:linux syscall跟踪器-开源
04-24
strace项目已移至https://strace.io。 strace是Linux的诊断,调试和说明性用户空间跟踪程序。 它用于监视和篡改用户空间进程与Linux内核之间的交互,其中包括系统调用,信号传递和进程状态更改。 内核功能ptrace使strace的操作成为可能。
strace命令 跟踪系统调用
01-09
strace命令是一个集诊断、调试、统计与一体的工具,我们可以使用strace对应用的系统调用和信号传递的跟踪结果来对应用进行分析,以达到解决问题或者是了解应用工作过程的目的。 strace常用来跟踪进程执行时的系统...
Linux用strace查看系统调用
01-09
 strace常用来跟踪进程执行时的系统调用和所接收的信号。 在Linux世界,进程不能直接访问硬件设备,当进程需要访问硬件设备(比如读取磁盘文件,接收网络数据等等)时,必须由用户态模式切换至内核态模式,通 过系统...
使用 strace 命令来监控内存分配,找出OOM的原因
11-09
使用 strace 命令来监控内存分配,找出OOM的原因 由于使用 Netty 导致的,那错误日志里可能会出现 OutOfDirectMemoryError 错误 如果直接是 DirectByteBuffer,那会报 OutOfMemoryError Direct buffer memory
Linux系统调用跟踪和进程错误退出分析.pdf
09-06
每种工具都有其特点和优缺,ftrace采用静态trace_point方法,systemtap利用kprobe和kretprobe对系统调用处理函数的调用和返回信息进行了采集,gdb的catch syscall命令和strace工具,利用ptrace机制对系统调用进行...
linux 系统调用视频讲解
08-13
5. **系统调用调试**:讲解如何使用strace工具跟踪和分析程序中的系统调用行为,以及如何使用gdb进行内核级别的调试。 6. **系统调用安全性**:探讨系统调用如何确保安全,避免恶意程序对系统造成破坏,例如权限...
沙盒syscall监控组件:strace and wtrace
七夜的博客
03-09 660
前言 良好的习惯是人生产生复利的有力助手。 本公众号已经写了3年多了,期间时断时续,时常被事情打断,甚是烦恼。 最近在看一些时间管理方面的书,发现其实很多事情都是可以安排清楚,关键在于固定的时间,固定的投入,形成习惯,成为良性循环。 成为习惯之后,一切就会水到渠成,2020 年慢慢来,本公众号内容还是以安全为主,倾向于攻,会夹杂开发和算法的知识。 本公众号之后的分享以专题的形式出现,确定一个专...
strace原理、ptrace PTRACE_SYSCALL 调用跟踪
kiraskyler的博客
01-08 1211
strace实现原理分析
Linux 用户空间审计工具 audit
热门推荐
Vic的博客
05-21 1万+
前言Linux auditd 工具可以将审计记录写入日志文件。包括记录系统调用和文件访问。管理员可以检查这些日志,确定是否存在安全漏洞。本文首先介绍用户空间审计系统的结构,然后介绍主要的 audit 工具的使用方法。Linux 用户空间审计系统简介Linux 内核有用日志记录事件的能力,包括记录系统调用和文件访问。管理员可以检查这些日志,确定是否存在安全漏洞(如多次失败的登录尝试,或者用户对系统文...
Linux监控文件被什么进程修改、删除,审计工具auditd
小灰灰的专栏
04-12 3439
auditd,审计工具
探索 Syscall Monitor:一款强大的系统调用监控工具
最新发布
gitblog_00041的博客
04-13 281
探索 Syscall Monitor:一款强大的系统调用监控工具 项目地址:https://gitcode.com/hzqst/Syscall-Monitor 简介 Syscall Monitor 是一个开源项目,由开发者 hzqst 创建并维护。该项目的目标是提供一种有效的方式来实时监控和记录程序在操作系统级别进行的系统调用。通过深入理解系统调用,你可以洞察程序的行为,这对于调试、安全分析性能...
linux kernel 2.6.11.12(转)
08-11 135
linux kernel 2.6.11.12(转)[@more@]软件介绍:  最新版本的Linux内核,如果你还在使用旧版本的内核,赶快更新吧,绝对不会让你失望!下载地址:ftp://ftp.kernel.org/pub/li...
linux下的系统调用(linux2.6.11.12)
呐觞的博客
07-06 532
应用程序在用户态执行时可能会请求系统调用(类似于中断,进行调用前需要保护现场,完成后需要恢复现场),比如读写磁盘的I/O操作,这时就需要int 0x80(十进制128)指令。每个系统调用具有固定的系统调用号(即使这个系统调用失效,这个系统 系统调用号也不会给别人)。          Int0x80之后就进入到内核代码了,在内核中首先执行到system_call的位置,pushl %eax的
【调试技巧】strace神器的使用方法详解与实践
嵌入式与Linux那些事的博客
05-25 4257
strace命令是一个集**诊断**、**调试**、**统计**于一体的工具,我们可以用它来监控用户空间**进程和内核的交互**。比如对应用程序的**系统调用**、**信号传递**与**进程状态变更**等进行跟踪与分析,以达到解决问题的目的。 系统调用;Linux驱动调试strace;Linux应用调试strace;Linux内核调试技巧;调试方法;代码调试;linux Android 调试方法
Linux系统性能优化与分析实战
性能分析工具方面,Linux提供了丰富的工具集,如top、vmstat、iostat、netstat、strace等,它们分别用于监控CPU、内存、I/O、网络和系统调用等。通过熟练使用这些工具,可以实时查看系统状态,快速定位问题。 ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值