Thanks for The info. But my question was rhetorical... I meant to say that it would not be much... She is trying to bombard the system with open calls ... So lots and lots of events will be generated and kernel has to write down the events some where or discard them...<span></span><br><br>On Tuesday, February 3, 2015, Richard Guy Briggs <<a href="mailto:rgb@redhat.com">rgb@redhat.com</a>> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">On 15/02/03, Satish Chandra Kilaru wrote:<br>
> How many events can kernel accumulate without I/o ?<br>
<br>
The kernel default is 64 *buffers*, but I think Fedora and RHEL set it<br>
to 320.  It is now possible to set it to "0" which means limited only by<br>
system resources.  See "man auditctl", "-b" option.  An event can be<br>
made up of several buffers.<br>
<br>
Of course, how long a system lasts before the queue blows up depends on<br>
your rule set...<br>
<br>
However, at the moment, it will still write out to klog if auditd isn't<br>
running.<br>
<br>
> On Tuesday, February 3, 2015, Viswanath, Logeswari P (MCOU OSTL) <<br>
> <a href="javascript:;" onclick="_e(event, 'cvml', 'logeswari.pv@hp.com')">logeswari.pv@hp.com</a>> wrote:<br>
><br>
> > I don't want to disable auditing (i.e. disable audit record collection),<br>
> > but just do not want the records to delivered to user space since I want to<br>
> > remove the I/O overhead while running the performance test.<br>
> > Is there any option for this?<br>
> ><br>
> > -----Original Message-----<br>
> > From: Richard Guy Briggs [mailto:<a href="javascript:;" onclick="_e(event, 'cvml', 'rgb@redhat.com')">rgb@redhat.com</a> <javascript:;>]<br>
> > Sent: Thursday, January 29, 2015 10:23 PM<br>
> > To: Viswanath, Logeswari P (MCOU OSTL)<br>
> > Cc: Satish Chandra Kilaru; Steve Grubb; <a href="javascript:;" onclick="_e(event, 'cvml', 'linux-audit@redhat.com')">linux-audit@redhat.com</a><br>
> > <javascript:;><br>
> > Subject: Re: Linux audit performance impact<br>
> ><br>
> > On 15/01/29, Viswanath, Logeswari P (MCOU OSTL) wrote:<br>
> > > Please read my question as “Is there any option to configure kaudit<br>
> > > not to log audit records to syslog? when auditd not running.”<br>
> ><br>
> > Yeah, remove audit=1 from the kernel command line, or set audit=0 in its<br>
> > place.  This will stop all but AVCs and if auditd has ever run since boot.<br>
> > If audit=0 is on the kernel boot line, it will be impossible to run auditd.<br>
> ><br>
> > There is a feature request that is likely coming soon that could be<br>
> > useful:<br>
> ><br>
> > <a href="https://bugzilla.redhat.com/show_bug.cgi?id=1160046" target="_blank">https://bugzilla.redhat.com/show_bug.cgi?id=1160046</a><br>
> > "If no audit daemon is running, but an audit multicast subscriber is<br>
> > around, then the kernel shouldn't forward audit data to kmsg"<br>
> ><br>
> > > From: Viswanath, Logeswari P (MCOU OSTL)<br>
> > > Sent: Thursday, January 29, 2015 11:49 AM<br>
> > > To: 'Satish Chandra Kilaru'; Steve Grubb<br>
> > > Cc: <a href="javascript:;" onclick="_e(event, 'cvml', 'linux-audit@redhat.com')">linux-audit@redhat.com</a> <javascript:;><br>
> > > Subject: RE: Linux audit performance impact<br>
> > ><br>
> > > Is there any option to configure kaudit not to log audit records to<br>
> > syslog when auditd is running?<br>
> > > This way we can assess the impact of enabling audit without involving<br>
> > disk I/o overhead.<br>
> > ><br>
> > > From: Satish Chandra Kilaru [mailto:<a href="javascript:;" onclick="_e(event, 'cvml', 'iam.kilaru@gmail.com')">iam.kilaru@gmail.com</a> <javascript:;>]<br>
> > > Sent: Thursday, January 29, 2015 9:12 AM<br>
> > > To: Steve Grubb<br>
> > > Cc: <a href="javascript:;" onclick="_e(event, 'cvml', 'linux-audit@redhat.com')">linux-audit@redhat.com</a> <javascript:;><mailto:<a href="javascript:;" onclick="_e(event, 'cvml', 'linux-audit@redhat.com')">linux-audit@redhat.com</a><br>
> > <javascript:;>>; Viswanath,<br>
> > > Logeswari P (MCOU OSTL)<br>
> > > Subject: Re: Linux audit performance impact<br>
> > ><br>
> > > I agree with you... but writing to disk can trigger further events<br>
> > leading spiralling of events...<br>
> > > I brought down my server few times with stupid rules...<br>
> > ><br>
> > > On Wed, Jan 28, 2015 at 10:39 PM, Steve Grubb <<a href="javascript:;" onclick="_e(event, 'cvml', 'sgrubb@redhat.com')">sgrubb@redhat.com</a><br>
> > <javascript:;><mailto:<a href="javascript:;" onclick="_e(event, 'cvml', 'sgrubb@redhat.com')">sgrubb@redhat.com</a> <javascript:;>>> wrote:<br>
> > > On Wednesday, January 28, 2015 10:18:47 AM Satish Chandra Kilaru wrote:<br>
> > > > Write your own program to receive audit events directly without<br>
> > > > using auditd...<br>
> > > > That should be faster ....<br>
> > > > Auditd will log the events to disk causing more I/o than u need...<br>
> > ><br>
> > > But even that is configurable in many ways. You can decide if you want<br>
> > > logging to disk or not and what kind of assurance that it made it to<br>
> > > disk and the priority of that audit daemon. Then you also have all the<br>
> > > normal tuning knobs for disk throughput that you would use for any<br>
> > > disk performance critical system.<br>
> > ><br>
> > > -Steve<br>
> > ><br>
> > > > On Wednesday, January 28, 2015, Viswanath, Logeswari P (MCOU OSTL) <<br>
> > > ><br>
> > > > <a href="javascript:;" onclick="_e(event, 'cvml', 'logeswari.pv@hp.com')">logeswari.pv@hp.com</a> <javascript:;><mailto:<a href="javascript:;" onclick="_e(event, 'cvml', 'logeswari.pv@hp.com')">logeswari.pv@hp.com</a><br>
> > <javascript:;>>> wrote:<br>
> > > > >  Hi Steve,<br>
> > > > ><br>
> > > > > I am Logeswari working for HP.<br>
> > > > ><br>
> > > > ><br>
> > > > ><br>
> > > > > We want to know audit performance impact on RHEL and Suse linux to<br>
> > > > > help us evaluate linux audit as data source for our host based IDS.<br>
> > > > ><br>
> > > > > When we ran our own performance test with a test audispd plugin,<br>
> > > > > we found if a system can perform 200000 open/close system calls<br>
> > > > > per second without auditing, system can perform only 3000<br>
> > > > > open/close system calls auditing is enabled for open/close system<br>
> > > > > call which is a HUGE impact on the system performance. It would be<br>
> > > > > great if anyone can help us answering the following questions.<br>
> > > > ><br>
> > > > ><br>
> > > > ><br>
> > > > > 1)      Is this performance impact expected? If yes, what is the<br>
> > reason<br>
> > > > > behind it and can we fix it?<br>
> > > > ><br>
> > > > > 2)      Have anyone done any benchmarking for performance impact? If<br>
> > yes,<br>
> > > > > can you please share the numbers and also the steps/programs used<br>
> > > > > the run the same.<br>
> > > > ><br>
> > > > > 3)      Help us validating the performance test we have done in our<br>
> > test<br>
> > > > > setup using the steps mentioned along with the results attached.<br>
> > > > ><br>
> > > > ><br>
> > > > ><br>
> > > > > Attached test program (loader.c) to invoke open and close system<br>
> > calls.<br>
> > > > ><br>
> > > > > Attached idskerndsp is the audispd plugin program.<br>
> > > > ><br>
> > > > > We used time command to determine how much time the system took to<br>
> > > > > complete 50000 open/close system calls without (results attached<br>
> > > > > Without-auditing) and with auditing enabled on the system<br>
> > > > > (With-auditing-NOLOG-audispd-plugin and With-auditing-RAW)<br>
> > > > ><br>
> > > > ><br>
> > > > ><br>
> > > > > System details:<br>
> > > > ><br>
> > > > ><br>
> > > > ><br>
> > > > > 1 CPU machine<br>
> > > > ><br>
> > > > ><br>
> > > > ><br>
> > > > > *OS Version*<br>
> > > > ><br>
> > > > > RHEL 6.5<br>
> > > > ><br>
> > > > ><br>
> > > > ><br>
> > > > > *Kernel Version*<br>
> > > > ><br>
> > > > > uname –r<br>
> > > > ><br>
> > > > > 2.6.32-431.el6.x86_64<br>
> > > > ><br>
> > > > ><br>
> > > > ><br>
> > > > > Note: auditd was occupying 35% of CPU and was sleeping for most of<br>
> > > > > the time whereas kauditd was occupying 20% of the CPU.<br>
> > > > ><br>
> > > > ><br>
> > > > ><br>
> > > > > Thanks & Regards,<br>
> > > > ><br>
> > > > > Logeswari.<br>
> > ><br>
> > ><br>
> > ><br>
> > > --<br>
> > > Please Donate to <a href="http://www.wikipedia.org" target="_blank">www.wikipedia.org</a><<a href="http://www.wikipedia.org" target="_blank">http://www.wikipedia.org</a>><br>
> ><br>
> > > --<br>
> > > Linux-audit mailing list<br>
> > > <a href="javascript:;" onclick="_e(event, 'cvml', 'Linux-audit@redhat.com')">Linux-audit@redhat.com</a> <javascript:;><br>
> > > <a href="https://www.redhat.com/mailman/listinfo/linux-audit" target="_blank">https://www.redhat.com/mailman/listinfo/linux-audit</a><br>
> ><br>
> ><br>
> > - RGB<br>
> ><br>
> > --<br>
> > Richard Guy Briggs <<a href="javascript:;" onclick="_e(event, 'cvml', 'rbriggs@redhat.com')">rbriggs@redhat.com</a> <javascript:;>><br>
> > Senior Software Engineer, Kernel Security, AMER ENG Base Operating<br>
> > Systems, Red Hat Remote, Ottawa, Canada<br>
> > Voice: +1.647.777.2635, Internal: (81) 32635, Alt: +1.613.693.0684x3545<br>
> ><br>
><br>
><br>
> --<br>
> Please Donate to <a href="http://www.wikipedia.org" target="_blank">www.wikipedia.org</a><br>
<br>
- RGB<br>
<br>
--<br>
Richard Guy Briggs <<a href="javascript:;" onclick="_e(event, 'cvml', 'rbriggs@redhat.com')">rbriggs@redhat.com</a>><br>
Senior Software Engineer, Kernel Security, AMER ENG Base Operating Systems, Red Hat<br>
Remote, Ottawa, Canada<br>
Voice: +1.647.777.2635, Internal: (81) 32635, Alt: +1.613.693.0684x3545<br>
</blockquote><br><br>-- <br>Please Donate to <a href="http://www.wikipedia.org">www.wikipedia.org</a><br>