<div dir="ltr">if u enable monitorint write system call, writes by audit system will lead to a spiral of audit messages...</div><div class="gmail_extra"><br><div class="gmail_quote">On Wed, Jan 28, 2015 at 10:52 AM, Viswanath, Logeswari P (MCOU OSTL) <span dir="ltr"><<a href="mailto:logeswari.pv@hp.com" target="_blank">logeswari.pv@hp.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Hi Steve,<br>
<br>
Thanks for the quick reply.<br>
<br>
Please look in-line for my replies.<br>
<br>
Regards,<br>
Logeswari.<br>
<span class=""><br>
-----Original Message-----<br>
From: Steve Grubb [mailto:<a href="mailto:sgrubb@redhat.com">sgrubb@redhat.com</a>]<br>
Sent: Wednesday, January 28, 2015 8:46 PM<br>
To: <a href="mailto:linux-audit@redhat.com">linux-audit@redhat.com</a><br>
Cc: Viswanath, Logeswari P (MCOU OSTL)<br>
Subject: Re: Linux audit performance impact<br>
<br>
</span><span class="">Hello,<br>
<br>
On Wednesday, January 28, 2015 02:57:58 PM Viswanath, Logeswari P wrote:<br>
> We want to know audit performance impact on RHEL and Suse linux to<br>
> help us evaluate linux audit as data source for our host based IDS.<br>
> When we ran our own performance test with a test audispd plugin, we<br>
> found if a system can perform 200000 open/close system calls per<br>
> second without auditing, system can perform only 3000 open/close<br>
> system calls auditing is enabled for open/close system call which is a<br>
> HUGE impact on the system performance. It would be great if anyone can help us answering the following questions.<br>
><br>
><br>
> 1)      Is this performance impact expected? If yes, what is the reason<br>
> behind it and can we fix it?<br>
<br>
I'll leave this for the kernel guys to answer. That said, I think more detailed information might be helpful.<br>
<br>
If auditd is not started and events go to syslog, does the performance change?<br>
To do this audit=1 on boot line and auditctl -R /etc/rules.d/your.rules<br>
<br>
</span>Logeswari=>System can perform 15000 open/close system calls per second which is better than earlier results.<br>
<span class=""><br>
what rules do you have loaded?<br>
<br>
</span>Logeswari=> # auditctl -l<br>
LIST_RULES: exit,always syscall=open,close<br>
<span class=""><br>
What do you get when audit is enabled and no rules loaded?<br>
<br>
</span>Logeswari=> Impact is there but not major.<br>
<span class=""><br>
If you have other syscall rules loaded that are not open and openat or close, does the performance change? I suspect that if you trigger a rule, you are thrown onto the slow path. Open is perhaps the most lengthy because of multiple auxiliary records and path resolution. But we need data to tell.<br>
<br>
</span>Logeswari=> Yes, there is an major impact. I enabled write system call and this rule is first in the set of rules along with open/close.<br>
<span class=""><br>
That said, I know that the kernel audit path changed a couple years ago so it might be worthwhile to test against an old kernel to see if the change has affected performance.<br>
<br>
</span>Logeswari=> We tested with kernel 2.6.32. Should we test with old/new kernel?<br>
<div class="HOEnZb"><div class="h5"><br>
-Steve<br>
<br>
> 2)      Have anyone done any benchmarking for performance impact? If yes,<br>
> can you please share the numbers and also the steps/programs used the<br>
> run the same.<br>
><br>
> 3)      Help us validating the performance test we have done in our test<br>
> setup using the steps mentioned along with the results attached.<br>
><br>
> Attached test program (loader.c) to invoke open and close system calls.<br>
> Attached idskerndsp is the audispd plugin program.<br>
> We used time command to determine how much time the system took to<br>
> complete<br>
> 50000 open/close system calls without (results attached<br>
> Without-auditing) and with auditing enabled on the system<br>
> (With-auditing-NOLOG-audispd-plugin<br>
> and With-auditing-RAW)<br>
><br>
> System details:<br>
><br>
> 1 CPU machine<br>
><br>
> OS Version<br>
> RHEL 6.5<br>
><br>
> Kernel Version<br>
> uname -r<br>
> 2.6.32-431.el6.x86_64<br>
><br>
> Note: auditd was occupying 35% of CPU and was sleeping for most of the<br>
> time whereas kauditd was occupying 20% of the CPU.<br>
><br>
> Thanks & Regards,<br>
> Logeswari.<br>
<br>
<br>
--<br>
Linux-audit mailing list<br>
<a href="mailto:Linux-audit@redhat.com">Linux-audit@redhat.com</a><br>
<a href="https://www.redhat.com/mailman/listinfo/linux-audit" target="_blank">https://www.redhat.com/mailman/listinfo/linux-audit</a><br>
</div></div></blockquote></div><br><br clear="all"><div><br></div>-- <br><div class="gmail_signature">Please Donate to <a href="http://www.wikipedia.org">www.wikipedia.org</a></div>
</div>