本发明提供了一种Linux系统调用事件采集和缓存装置及方法,属于计算机安全领域,本发明基于sysdig项目的sysdig‑probe内核驱动模块,增加了sysdig‑probe过滤模块和sysdig‑probe事件序列化模块,用于采集系统调用事件信息,并采用Linux内存映射技术,Sysdig‑userspace层与sysdig‑probe内核驱动模块共享内存,Sysdig‑userspace层读取共享内存数据,并通过高性能、实时的Sqlite c API接口,将系统调用事件信息存入Sqlite缓存库存储。本发明实时进行系统调用事件采集及存储,实现了Linux系统调用事件监控的线上部署。