bpftrace

最新推荐文章于 2024-05-16 19:21:42 发布
最新推荐文章于 2024-05-16 19:21:42 发布
阅读量1.1k 收藏 17
点赞数 16
分类专栏: Linux 文章标签: linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/A152419/article/details/137694779
版权

1. bpftrace 介绍 

        bpftrace 是一个基于 eBPF (Extended Berkeley Packet Filter) 的高级工具,用于动态跟踪系统的各种事件和性能指标。它可以在不需要重新编译内核模块的情况下,以一种安全、高效的方式执行代码,从而提供了丰富的系统跟踪和性能分析能力。        

2. bpftrace 使用

2.1. 语法结构

bpftrace 语法结构:

probes /filter/ { action }

probes:事件,tracepoint, kprobe, kretprobe, uprobe。两个特殊事件 BEGIN/END,用于脚本开始和结束处执行。

filter:过滤条件,事件触发时,判断条件,例如:/pid == 3245/,表示pid 为3245的进程执行。

action :具体执行的操作,例如:{ printf("close\n");} 打印close

2.2. probes

2.3. bpftrace 变量

内置变量

bpftrace 脚本常用变量如下:

uid:用户id。

tid:线程id

pid:进程id。

cpu:cpu id。

cgroup:cgroup id.

probe:当前的trace点。

comm:进程名字。

nsecs:纳秒级别的时间戳。

kstack:内核栈描述

curtask:当前进程的task_struct地址。

args:获取该kprobe或者tracepoint的参数列表

arg0:获取该kprobe的第一个变量,tracepoint不可用

arg1:获取该kprobe的第二个变量,tracepoint不可用

arg2:获取该kprobe的第三个变量,tracepoint不可用

retval: kretprobe 中获取函数返回值

args->ret: kretprobe 中获取函数返回值

自定义变量

以'$'标志起来定义与引用变量,例如:$idx = 0;

Map 变量

Map 变量是用于内核向用户空间传递数据的一种存储结构,定义方式是以'@'符 号作为标志

@path[tid] = nsecs;

@path[pid, $fd] = nsecs;

Bpftrace 默认在结束时会打印从内核接收到的map变量

内置函数

Function Description

printf("...") Print formatted string

time("...") Print formatted time

join(char *arr[]) Join array of strings with a space

str(char *s [, int length]) Return string from s pointer

buf(void *p [, int length]) Return a hexadecimal string from p pointer

strncmp(char *s1, char *s2, int length) Compares two strings up to length

sizeof(expression) Returns the size of the expression

kstack([limit]) Kernel stack trace up to limit frames

ustack([limit]) User-level stack trace up to limit frames

ksym(void *p) Resolve kernel address to symbol

usym(void *p) Resolve user-space address to symbol

kaddr(char *name) Resolve kernel symbol name to address

uaddr(char *name) Resolve user-space symbol name to address

ntop([int af,]int|char[4:16] addr) Convert IP address data to text

reg(char *name) Return register value

cgroupid(char *path) Return cgroupid for /sys/fs/cgroup/... path

time("...") Print formatted time

system("...") Run shell command

cat(char *filename) Print file content

signal(char[] sig | int sig) Send a signal to the current task

override(u64 rc) Override a kernel function return value

exit() Exits bpftrace

@ = count() Count events

@ = sum(x) Sum the value

@ = hist(x) Power-of-2 histogram for x

@ = lhist(x, min, max, step) Linear histogram for x

@ = min(x) Record the minimum value seen

@ = max(x) Record the maximum value seen

@ = stats(x) Return the count, average, and total for this value

delete(@x[key]) Delete the map element

clear(@x) Delete all keys from the map

2.4. bpftrace 基础用法

1)查找探针

        使用 bpftrace -l 命令可以列出所有的探针。

        比如,我们想检测 tcp的 connect ,可以执行 bpftrace -l "tcp*connect"

        

2)单行语句

#监控 tcpv4 connect
bpftrace -e 'kprobe:tcp_v4_connect { printf("socket connct comm[%s] pid[%d] \n", comm, pid); }'

下图示例为调用 bpftrace 监控 tcp connect 接口是否被调用,在另外一个窗口调用 curl 访问百度时,监测到的结果。  

3)文件形式

除了上面讲的当行语句以外,bpftrace 还支持文件的方式,可以实现复杂度更高的功能。

用法:bpftrace test.bt

#!/usr/sbin/bpftrace

tracepoint:raw_syscalls:sys_enter
/filter/
{

}

 

3. bpftrace 使用实例

使用 bpftrace 监控正在运行的服务器accept 执行的次数。

#!/usr/sbin/bpftrace

BEGIN
{
    printf("Tracing TCP connections for PID %d...\n", $1);
}

kprobe:__sys_accept4
{
    if (pid == $1) {
        @tcp_accepts[tid] = count();
    }
}

END
{
    printf("PID %d: TCP connections:\n", $1);
    print(@tcp_accepts);
}

        可以看到, pid为25822 的服务器接调用了三次 accept 函数。

        bpftrace可以使用系统调用拦截技术(如kprobes、tracepoints等)来截获系统调用和其他事件,然后在事件发生时获取到相关的进程信息,比如PID、进程名称等。

搬运代码の外卖小哥
关注
  • 16
    点赞
  • 17
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
半静态编译的bpftrace:v0.16.0
09-02
半静态编译的bpftrace,版本v0.16.0,库依赖如下: $ ldd bpftrace_v0_16_0 linux-vdso.so.1 (0x00007ffec589f000) librt.so.1 => /lib/x86_64-linux-gnu/librt.so.1 (0x00007fef1540d000) libpthread.so.0 => /...
ebpf 学习-bpftrace 语法 入门
qq_39015563的博客
10-20 958
bpftrace 语法 probe 格式: type:identifier1[:identifier2[…]] bpftrace -e: probe1, probe2,… /filters/ {actions1;actions2…;} variables: built-in: pid、comm、nsecs、curtask scratch: $ 临时计算使用,第一次赋值声明,$x = 1 只能在action 内部使用 map: @ 全局存储 或者 在actions 之间进行数据传递 probe1 { @a
使用bpftrace进行内核跟踪
程序猿Ricky的日常干货
03-10 5713
bpftrace工具用法 单行命令工具: bpftrace -e 'program' bpftrace直接跟-e选项后面加单行命令,一些示例,比如: bpftrace -e 'BEGIN { printf("Hello world!\n"); }' bpftrace -e 'kprobe:vfs_read { @[tid] = count();}' bpftrace -e 'kprobe:vfs_read /pid == 123/ { @[tid, comm] = count();}' bpftrace
BPF( 伯克利数据包过滤器 ) Performance Tools》 第五章 bpftrace
weixin_55255438的博客
10-08 1471
bpftrace是一款基于BPF和BCC的开源跟踪器。和BCC一样,bpftrace自带了许多性能工具和支持文档。它同时还提供了一个高级编程语言环境,可以用来创建强大的单行程序和小工具。比如,下面的单行程序以直方图形式统计vfs_read() 的返回值(读取的字节数或错误码) :Alastair Robertson阿拉斯泰尔·罗伯逊Alastair Robertson于2016年12月创建了bpftrace, 当时它还只是一个业余项目。
bpftrace 组件
qq_32783703的博客
03-24 2336
bpftrace
LinuxBPF学习笔记 - bpftrace开发[7]
Linoy
03-03 3056
BPF】学习笔记 - bpftrace开发[7] bpftrace是基于BPF和BCC构建的开源跟踪程序。 与BCC一样,bpftrace附带了许多性能工具和支持文档。 但是,它也提供了高级编程语言,允许创建功能强大的单行代码和简短的工具。 bpftrace是使用自定义单行代码和简短脚本的临时工具的理想选择,而BCC是复杂工具和守护程序的理想选择 BPFTRACE 组件 bpftrace包含有...
bpftrace 指南
0 error(s)
05-03 1329
Alastair 与2016.12创建了bpftracebpftrace 是一款基于BPF和BCC的开源跟踪器。其自带了许多多性能工具和支持文档,同时提供了一个高级编程语言环境,可以用来创建强大的单行程序和小工具。
bpftrace 使用笔记
奋斗中拥有
07-16 4863
bpftrace 使用笔记 bpftrace 是基于BPF和BCC的开源系统跟踪工具. bpftrace 自带了许多性能工具,同时还提供一个高级编程语言环境,用于创建自定义的工具. 一般Linux发行版都可直接通过安装包安装使用, 我自己的环境由于升级了KERNEL导致不能正常使用, 只能通过源码重新构建使用. 环境准备: $ uname -a Linux fc29 5.12.7-300.fc29.x86_64 #1 SMP Fri May 28 13:45:39 CST 2021 x86_64 x86_6
静态编译的bpftrace可执行程序v0.12.0
09-02
静态编译的bpftrace,不依赖任何动态库,版本为:0.12.0. https://github.com/iovisor/bpftrace https://github.com/iovisor/bpftrace/releases/tag/v0.12.0
内核bpftrace的实现原理
08-08
内核内核bpftrace的实现原理
适用于 centos7安装的 bpftrace工具rpm包
11-10
适用于 centos7安装的 bpftrace工具rpm包,适用于 centos7安装的 bpftrace工具rpm包。
基于容器的bpftrace,版本为0.16.0
09-03
bpftrace放到容器中,容器使用的是ubunt focal。 解压之后: bpftrace_docker$ ./bpftrace.sh ./trace.bt 或者 bpftrace_docker$ ./bpftrace.sh -e 'BEGIN {printf("Hello\n");}'
BPFtrace编程入门
m0_67788957的博客
03-17 748
题目: 1. 获取字符串前5个字符的命令是什么? 2. 在模式匹配的条件查询中应使用哪个运算符? 3. 在emp表中找到第三高工资。 4. 在emp表中找到第三低工资。 5. 查询出没有员工的所有部门。 6. 假设EMP表有提供的年薪信息annualSalary,如何获取每个员工的月工资? 7. 从emp表,查询ename以'S'开头的记录,其长度为6个字符。 8. 如何检索emp1的所有记录,不应该出现在emp2? 9. emp表中num字段中具有一些负值和一些正值,需要在两个单独的列中
Linux部署安装
凌北辰的博客
05-10 499
因为在RPM安装过程中经常需要解决依赖关系,而有些依赖关系并不会有准确的依赖安装包提示信息,YUM是RPM包管理工具,可以很好解决RPM包安装过程中会遇到的依赖关系问题。YUM安装软件时至少需要一个YUM源,YUM源就像一个存放了好多RPM包的仓库,用户可以使用ftp、http等方式访问YUM源。Linux上大部分软件都是开源软件(apache、tomcat、PHP、MySQL等)YUM可以从多个 源中搜索软件及软件安装所依赖的安装包,并自动安装相应的依赖软件。软件组安装-字符界面安装图形化。
Linux知识点笔记
最新发布
exercise_smile的博客
05-16 555
Linux 主要的发行版(release):Ubuntu(乌班图)、 RedHat(红帽)、 CentOS、 Debain[蝶变]、 Fedora、 SuSE、 OpenSUSE [示意图]在 linux 中的每个用户必须属于一个组, 不能独立于组外。在 linux 中每个文件 有所有者、 所在组、 其它组的概念。ls -l 中显示的内容如下:0-9 位说明:第 0 位确定文件类型(d, - , l , c , b)l 是链接, 相当于 windows 的快捷方式。
Linux FT260驱动内核学习笔记
pq的博客
05-12 782
系统采用Ubuntu 22,X86 64。
Linux -- gdb
yyl0327的博客
05-12 815
GDB(GNU Debugger)是一个功能强大的开源调试工具,主要用于调试C和C++编写的程序。它允许你查看程序执行时的内部情况,可以用来设置断点、单步执行代码、查看变量值等,以帮助开发者找出程序中的错误。GDB 是 GNU 项目的一部分,广泛应用于各种Unix-like系统中,包括Linux、BSD等操作系统。
Linux】进程状态
2201_76024104的博客
05-11 859
我们之前说了进程,进程也是有状态的,这也是好理解的,因为进程不可能一直在CPU中跑着,当进程在CPU运行时或者在运行队列中我们都叫运行状态,有运行状态就有其他状态,比如后面要说的和。为什么要有状态呢?因为当前的状态决定了进程后续的动作进程需要排队一定是因为在,它可以在CPU运行队列中,它要等待CPU执行;它也可以等待比如键盘资源,比如scanf就要等待键盘写入东西。并且只要是排队,一定是。
bpftrace 编译
09-07
bpftrace 是一种高级的跟踪语言,用于 Linux eBPF。它使用 LLVM 作为后端将脚本编译为 eBPF 字节码,并通过 BCC 与 Linux eBPF 子系统和现有的 Linux 跟踪功能进行交互。bpftrace 的语法灵感来自 awk、C 和其他跟踪工具,如 DTrace 和 SystemTap。你可以在 GitHub 上找到 bpftrace 的项目链接。 要编译 bpftrace,你需要安装依赖项,并按照指南进行编译。你可以在 bpftrace 项目的文档中找到安装和编译的详细说明。你还可以参考推荐链接中的文章,其中提供了关于 bpftrace 的更多信息和使用示例。 总结起来,要编译 bpftrace,你需要进行以下步骤: 1. 安装依赖项,包括 LLVM、Clang 和其他必要的库。 2. 下载 bpftrace 源代码。 3. 根据指南配置内核编译。 4. 编译 bpftrace。 5. 安装编译后的 bpftrace。 希望这些信息对你有帮助!如果你需要更多详细的指导,请参考项目链接和推荐链接中的资源。 https://github.com/iovisor/bpftrace https://zhuanlan.zhihu.com/p/457335441 https://github.com/iovisor/bpftrace/blob/master/docs/getting-started.md https://github.com/iovisor/bpftrace/blob/v0.16.0/README.md<span class="em">1</span><span class="em">2</span><span class="em">3</span><span class="em">4</span>

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值