使用bpftool将eBPF程序attach到某个tracepoint上

最新推荐文章于 2024-10-11 07:19:35 发布
最新推荐文章于 2024-10-11 07:19:35 发布
阅读量394 收藏
点赞数 3
分类专栏: eBPF 文章标签: linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Shalom373/article/details/137292308
版权

代码 

#include <vmlinux.h>
#include <bpf/bpf_helpers.h>

/// @description "Process ID to trace"
const volatile int pid_target = 0;

SEC("tracepoint/syscalls/sys_enter_openat")
int tracepoint__syscalls__sys_enter_openat(struct trace_event_raw_sys_enter* ctx)
{
 u64 id = bpf_get_current_pid_tgid();
 u32 pid = id;

 if (pid_target && pid_target != pid)
  return false;
 // Use bpf_printk to print the process information
 bpf_printk("Process ID: %d enter sys openat\n", pid);
 return 0;
}

/// "Trace open family syscalls."
TARGETS = ps_open_file

all: $(TARGETS)
.PHONY: all

$(TARGETS): %: %.bpf.o

%.bpf.o: %.bpf.c
        clang \
            -target bpf \
                -I/usr/include/$(shell uname -m)-linux-gnu \
                -g \
            -O2 -o $@ -c $<

clean: 
        - rm *.bpf.o
        - rm -f /sys/fs/bpf/ps_open_file

命令行

make
sudo bpftool prog load ps_open_file.bpf.o /sys/fs/bpf/ps_open_file autoattach
sudo bpftool prog  tracelog | grep bpf_trace_printk

卡尔西法的眼睛
关注
专栏目录
云原生安全攻防|使用eBPF逃逸容器技术分析与实践
Tencent_SRC的博客
11-03 3002
作者:pass、neargle @ 腾讯安全平台部前言容器安全是一个庞大且牵涉极广的话题,而容器的安全隔离往往是一套纵深防御的体系,牵扯到AppArmor、Namespace、Capabi...
聊聊风口上的 eBPF
github_36774378的博客
01-06 545
eBPF 是一个用于访问 Linux 内核服务和硬件的新技术,由于其灵活性和高性能等特点,被迅速用于网络、出错、跟踪以及防火墙等多场景。目前国内已有少数企业开始尝试将 eBPF 引入生产实践,又拍云也是其中一个。专为技术开发者提供知识分享的 Open Talk 公开课邀请了又拍云开发工程师周晨约直播分享 eBPF 的学习经验与开发心得,并对其分享内容进行整理,下拉至文末点击阅读原文可回看原视频。 大家好,今天分享的主题是《eBPF 探索之旅》,围绕三部分展开: eBPF 是什么 eBPF 能做什么
eBPF学习 - 入门
成长之路
04-17 2323
BPFeBPF是什么? BPF是Berkeley Packet Filter(伯克利数据包过滤器)得缩写,诞生于1992年,其作用是提升网络包过滤工具得性能,并于2014年正式并入Linux内核主线。 BPF提供一种在各种内核事件和应用程序事件发生时允许运行一小段程序的机制,使得内核完全可编程,允许用户定制和控制他们的系统以解决相应的问题。 BPF是一项灵活而高效的技术,由指令集、存储对象和辅助函数等几部分组成。其采用了虚拟指令集规范,运行时BPF模块提供两个执行机制:解释器和即时编译器(JIT)。在实际
bpftools, BPF工具包分析工具包.zip
09-18
bpftools, BPF工具包分析工具包 BPF工具介绍性博客文章:http://blog.cloudflare.com/bpf-the-forgotten-bytecode/http://blog.cloudflare.com/introducing-the-bpf-t
bpftool 项目教程
最新发布
gitblog_00401的博客
10-11 373
bpftool 项目教程 bpftool Automated upstream mirror for bpftool stand-alone build. 项目地址: https://gitcode.com/gh_mirrors/...
上手 bpftool
热门推荐
龙瑜的博客
11-22 1万+
bpftool 是什么 bpftool 是一个用来检查 BPF 程序和映射的内核工具。 如何编译安装 bpftool bpftool 源码在 tools/bpf/bpftool 中,直接 cd 到这个路径中,然后执行 make && make install 即可。 这里我使用了 V=1 来输出更详细的信息,过程记录如下: root@debian-10:12:12:04] bpftool # make && make V=1 install make[1]: 进入目录“/ho
XDP入门--bpftool使用方法简介
meihualing的专栏
05-31 2797
XDP, eBPF, bpftool, eBPF编程与调试
BPF学习笔记(七)-- 静态跟踪点tracepoint
frankzfz的专栏
01-01 676
通过对内核中相关的文件进行分析, 在kernel/bpf/syscall.c文件中,我们可以看到其中提交的一个commit,去掉对bpf_prog_load的tracepoint使用git show 4d220ed 显示下面的信息。》中第4章节中的案例中,有一个tracepoint bpf_prog_load的实例,在我自己的云主机上,执行不通过。通过上面的查看,是在内核4.18之后的内核删除了。上面的程序bpf_prog_load的函数中添加一个添加一个tracepoint点。
eBPF开发指南
SenberHu的博客
05-17 1396
0x1:技术背景 bpfBPF 的全称是 Berkeley Packet Filter,是一个用于过滤(filter)网络报文(packet)的架构。(例如tcpdump),目前称为Cbpf(Classical bpfEbpfeBPF全称 extended BPFLinux Kernel 3.15 中引入的全新设计, 是对既有BPF架构进行了全面扩展,一方面,支持了更多领域的应用,比如:内核追踪(Kernel Tracing)、应用性能调优/监控、流控(Traffic Control)等;另一
深入浅出eBPF|你要了解的7个核心问题
阿里云技术
06-17 203
过去一年,ARMS基于eBPF技术打造了Kubernetes监控,提供多语言无侵入的应用性能,系统性能,网络性能观测能力,验证了eBPF技术的有效性。eBPF技术和生态发展很好,未来前景广大,作为该技术的实践者,本文目标是通过回答7个核心问题介绍eBPF技术本身,为大家解开eBPF的面纱。...
使用libbpf-bootstrap构建第一个libbpf+BPF CO-RE程序
weixin_43144516的博客
07-16 5340
文章目录前言选择libbpf+BPF CO-RE的理由使用libbpf-bootstrap的理由Libbpf-bootstrap结构Minimal:最小应用程序分析运行minimal:代码分析:BPF side代码分析:User space sideMakefile分析动手构建属于自己的Hello World程序 前言 本文参考了相关博客:Building BPF applications with libbpf-bootstrap 选择libbpf+BPF CO-RE的理由 libbpf 是一个比BCC更
eBPF挂载函数小结
qq_43573047的博客
04-25 485
在C或C++应用程序中,可以使用DTrace或SystemTap的API定义USDT探针,如下通过安装之后,就能通过使用宏来定义usdt,最多可以包含有12个参数。// 触发 USDT 跟踪点return 0;
动态控制eBPF程序加载:检查 Tracepoint、Kprobe是否存在
2401_84703565的博客
06-02 875
eBPF 程序开发中,确保程序能够在各种不同的系统配置中兼容运行是至关重要的。本文将详细介绍一个方案,通过动态检查Tracepoint、Kprobe是否存在,并结合libbpf的API接口控制 eBPF 程序的加载。这种方法不仅可以提升程序的灵活性,还能提高其在不同内核版本和系统配置中的兼容性。检查指定的 Tracepoint 是否存在;检查指定的 Kprobe 是否存在;
BPFTools 项目教程
gitblog_00905的博客
08-13 279
BPFTools 项目教程 bpftoolsBPF Tools - packet analyst toolkit项目地址:https://gitcode.com/gh_mirrors/bp/bpftools 1. 项目的目录结构及介绍 BPFTools 项目的目录结构如下: bpftools/ ├── linux_tools/ ├── tests/ ├── .gitignore ├── LICE...
使用LIBBPF开发BPF程序
weixin_45092290的博客
05-12 1488
bpf_get_current_pid_tgid返回低32位的PID(内核的PID视图,在用户空间中通常表示为线程 ID)和高32位的线程组ID(用户空间通常认为PID)。有了这个文件,开发者可以确保他们的eBPF程序使用的数据结构与当前运行的内核版本完全一致,从而避免因版本不匹配引起的运行时错误。生成的头文件包含了嵌入的BPF程序代码和API,用于初始化、加载和附加BPF程序到内核,以及管理与之关联的BPF map。这样,生成的头文件就包含了内核的所有数据结构定义,可以在编写eBPF程序使用
bpftool安装教程
weixin_44260459的博客
02-20 5669
安装bpftool: 原本是没有安装bpftool的,输入bpftool后提示如上图所示,提示了集中安装方法,分别是安装不同的版本。 由于我一开始也不会用,所以就选了第一个版本最高的,根据提示输入命令 确实成功安装了,但是用不了,,,,因为我忽略了自己的内核版本。。。 于是又按照提示输入: apt install linux-tools-5.13.0-30-generic 并执行了第二条命令: apt install linux-tools-generic 于...
eBPF学习笔记(二)—— eBPF开发工具
qq_41988448的博客
11-14 2916
本篇记录对bpftrace、BCC、libbpfeBPF常用开发工具的基本使用
利用ebpf优化负载均衡器
06-12 1058
一 前言好久没写文章了,最近忙于抉择,搞的心好累,左右不知道哪条路对自己是最好的,风险与收益并存,是稳扎稳打还是冒一次险,换来的后面的顺畅,我不知道怎么选,左右想法一直在打架。言归正传,ebpf学了一段时间了,开始觉得自己还是了解一些,但是其实差距还有点大,这篇文章是学习ebpf的课程的一篇试验文章,主要是基于ebpf的网络程序,难度比以前学的大,加之新学,只能从模仿试验...
eBPF:云原生环境下多集群流量调度的关键技术
在"01 张晓辉-使用 eBPF 实现多集群的流量调度.pdf"这份文档中,作者张晓辉,作为Flomesh的高级云原生工程师,深入探讨了如何利用eBPF(Extended Berkeley Packet Filter)技术在云原生环境中进行多集群流量的高效和...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值