<br><br><div><span class="gmail_quote">On 2/24/06, <b class="gmail_sendername">Steve Grubb</b> <<a href="mailto:sgrubb@redhat.com">sgrubb@redhat.com</a>> wrote:</span><blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;">
On Friday 24 February 2006 17:02, Mauricio Lin wrote:<br>> I am looking for the patch done by Rik Faith according to the webpage<br>> <a href="http://lwn.net/Articles/73623/">http://lwn.net/Articles/73623/</a>. The link
<br>> <a href="http://people.redhat.com/faith/audit/audit-20040226.1411.patch">http://people.redhat.com/faith/audit/audit-20040226.1411.patch</a> looks not<br>> available anymore.<br><br>That's true, his site is gone. The patch has been accepted upstream, so all
<br>you need to do is look at kernel/audit*.c<br><br>> I would like to check the patch to see clearly the code included in the<br>> kernel and what exactly were changed.<br><br>There have been many, many, many changes since then. Best to look at current
<br>code.<br><br>> BTW, what is the main difference between the auditing syscall and the<br>> strace tool?<br><br>strace is for tracing system calls and controlled from user space. The audit<br>system is meant to be a security tool for auditing user/program actions. Its
<br>designed to meet security requirements like CAPP, NISPOM, SOX, or HIPAA. The<br>audit system is concerned with credentials and strace is not.<br><br>> Does auditing syscall provide more accurate values?<br><br>No. There is a problem in that the audit system collects just arg0 - arg3. No
<br>more. If the parameter is a pointer, then all you get is the address and not<br>the value.<br><br>> Futhermore does auditing tool provide the time or elapsed time that a<br>> system call was allocated for each processor in a SMP platform?
<br><br>It provides the time of the syscall based on the system clock.</blockquote><div><br>
OK. System calls can sleep and perhaps in SMP platform it can run in a
different processor because of load balancer feature. The system clock
is registered on the entry point of syscall, right? <br>
<br>
After that if syscall is put in the waitqueue, nothing is registered when it is awaked again to use the processor. Am I right?<br>
</div><br><blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;">> Does it trace the system call by processor?<br><br>No.<br><br>-Steve<br></blockquote>
</div><br>