Translated message

A translation of this page exists in English.

Warning message

This translation is outdated. For the most up-to-date information, please refer to the English version.

audit を有効にする場合、システムパフォーマンスのペナルティはありますか?

Solution Verified - Updated -

Environment

  • Red Hat Enterprise Linux 6
  • Red Hat Enterprise Linux 5

Issue

  • audit を有効にする場合にシステムパフォーマンスのペナルティはありますか?
  • killer を追跡する機能で、audit よりもシステムパフォーマンスへの影響が少ないものはありませんか?

Resolution

  • イベントが発生する前に追跡する唯一の方法は、audit ルールを設定することです。
  • システムで 64 ビットソフトウェアを使用している場合、kill はプロセスを強制終了する唯一の syscall であるため、適切なルールは以下のようになります。
# /sbin/auditctl -a exit,always -F arch=b64 -S kill -S tkill -S tgkill -F a1=10 -k signal10
  • 32 ビットおよび 64 ビットに対してルールを追加すると、おそらくオーベーヘッドが追加されるため、システムのパフォーマンスに利点はありません。
  • システムが、32 ビットおよび 64 ビットのコンパイルされたプロセスを実行している場合は、両方に監査ルールを追加します。

This solution is part of Red Hat’s fast-track publication program, providing a huge library of solutions that Red Hat engineers have created while supporting our customers. To give you the knowledge you need the instant it becomes available, these articles may be presented in a raw and unedited form.

Comments