Можно в том числе делать мониторинг с тчоки зрения безопасности - например написать правило что выдать ворнинг если кто-то открыл соединение не на дозволенные IP
На вопрос про Overhead они решили показать свою собственную метрику :)
для отправки данных - компрессия, поэтому 10-50 кб в секунду в среднем
Модуль ядра тоже старается быть быстрым и делать только то что нужно
На стороне юзерспейса агент подбирает фильтры чтобы снизить оверхед