Мониторинг системных вызовов Linux (эффективно)

Какой самый быстрый способ отслеживать системные вызовы Linux и записывать их в файл? Этот пост имеет отличную информацию:

https://security.stackexchange.com/questions/8485/monitoring-system-calls-in-a-reliable-and-secure-way?lq=1

Кажется, что подсистема аудита - это путь, проблема в том, что когда вы отслеживаете ВСЕ системные вызовы (auditctl -a exit,always -S allВаша ОС слишком перегружена, и все работает медленно. Увеличение размера буфера в audit.rules не сильно помог

Есть ли другой способ, который даст разумную производительность и не задушит ОС? Я думаю о написании своего собственного модуля ядра, который будет использовать API LSM для перехвата системных вызовов. Как вы думаете, это будет лучше, чем подсистема аудита (которая использует много фильтров / форматирования, которые могут добавить ненужные накладные расходы)