<div><div dir="auto">You can enable the syscalls that you think will be helpful from an IDS perspective. </div></div><div dir="auto"><br></div><div dir="auto">There are also other downstream tools like goaudit and OSS kernel modules like sysdig falco (not related to auditd) which may be able to simplify things for you. </div><div dir="auto"><br></div><div dir="auto">Farhan</div><div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Mon, Jul 15, 2019 at 6:25 AM 杨海 <<a href="mailto:hai.yang@magic-shield.com">hai.yang@magic-shield.com</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div>Hi Steve,</div><div><br></div><div>I ever read the document you wrote about laying IDS on top of auditd. And I suppose inotify could be lightweight for IDS. Any comment?</div><div><u></u><br><u></u></div><div><u></u>Best regards<u></u></div><div><u></u>Hai<u></u><u></u><br><u></u></div><div><u></u><div style="font-size:14px;font-family:Verdana;color:#000"><div style="overflow:hidden"><table class="m_7564073740601526183preview_table"><tbody><tr><td valign="middle"><br></td><td valign="middle" style="color:#a0a0a0;font-size:12px"></td></tr></tbody></table></div></div><u></u></div><div><u></u><div></div><div> </div><div style="font:Verdana normal 14px;color:#000"><div style="FONT-SIZE:12px;FONT-FAMILY:Arial Narrow;padding:2px 0 2px 0">------------------ Original ------------------</div><div style="FONT-SIZE:12px;background:#efefef;padding:8px"><div id="m_7564073740601526183menu_sender"><b>From: </b> "Steve Grubb"<<a href="mailto:sgrubb@redhat.com" target="_blank">sgrubb@redhat.com</a>>;</div><div><b>Date: </b> Fri, Jul 12, 2019 08:14 PM</div><div><b>To: </b> "linux-audit"<<a href="mailto:linux-audit@redhat.com" target="_blank">linux-audit@redhat.com</a>>; </div><div><b>Cc: </b> "杨海"<<a href="mailto:hai.yang@magic-shield.com" target="_blank">hai.yang@magic-shield.com</a>>; </div><div><b>Subject: </b> Re: overhead of auditd</div></div></div></div><div><div style="font:Verdana normal 14px;color:#000"><div> </div><div><div id="m_7564073740601526183tmpcontent_res"></div>Hello,<br><br>On Thursday, July 11, 2019 11:23:45 PM EDT 杨海 wrote:<br>> Turning on all system calls in audit.rules, and transferring a tar file to<br>> the target system (CentOS 7, 4 cores), I found "auditd" consumes high CPU<br>> usage. Is it expected?<br><br>It would not be surprising. Some system calls have more overhead than others. <br>So, depending on everything that is running, you can kill your system.<br><br>> BTW, after turning write-logs off, and add dispatcher, both "audispd" and<br>> "auditd" are consuming high CPU.<br><br>They have a lot of events to handle.<br><br>-Steve<br><br></div></div><u></u></div>--<br>
Linux-audit mailing list<br>
<a href="mailto:Linux-audit@redhat.com" target="_blank">Linux-audit@redhat.com</a><br>
<a href="https://www.redhat.com/mailman/listinfo/linux-audit" rel="noreferrer" target="_blank">https://www.redhat.com/mailman/listinfo/linux-audit</a></blockquote></div></div>