<div dir="ltr"><div>While obviously not extremely thorough a research group I'm involved in has looked at the performance impact of Audit though in this case specific to Android mobile devices on ARM. Check the section at the end of page 4. <br>
<br><a href="https://www.usenix.org/system/files/conference/tapp13/tapp13-final11.pdf">https://www.usenix.org/system/files/conference/tapp13/tapp13-final11.pdf</a><br><br></div>Cheers,<br>Nathaniel<br></div><div class="gmail_extra">
<br><br><div class="gmail_quote">On Thu, Aug 29, 2013 at 4:24 PM, Steve Grubb <span dir="ltr"><<a href="mailto:sgrubb@redhat.com" target="_blank">sgrubb@redhat.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
<div class="im">On Thursday, August 29, 2013 12:59:33 PM zhu xiuming wrote:<br>
> Has someone done some work related to the performance impact of enabling<br>
> auditd on syscalls watching?<br>
<br>
</div>Yes, long ago.<br>
<a href="http://people.redhat.com/sgrubb/files/lspp-perf.tar.gz" target="_blank">http://people.redhat.com/sgrubb/files/lspp-perf.tar.gz</a><br>
<br>
Short story is watches were undistinguishable from cache hit/misses and<br>
syscall auditing gets more impact as more rules get added and based on how<br>
complicated the rule is. CPU's have changed so much since I did the<br>
benchmarking that I won't even hazard a guess as to what the performance hit<br>
is on current hardware with current kernel.<br>
<br>
-Steve<br>
<br>
--<br>
Linux-audit mailing list<br>
<a href="mailto:Linux-audit@redhat.com">Linux-audit@redhat.com</a><br>
<a href="https://www.redhat.com/mailman/listinfo/linux-audit" target="_blank">https://www.redhat.com/mailman/listinfo/linux-audit</a><br>
</blockquote></div><br></div>