bpftrace简单使用

最新推荐文章于 2024-05-01 15:13:50 发布
最新推荐文章于 2024-05-01 15:13:50 发布
阅读量152 收藏
点赞数
分类专栏: Linux 文章标签: linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/aolitianya/article/details/134535295
版权

bpftrace是在eBPF和BCC上构建的一个简化的跟踪工具,可以通过几行简单的脚本实现复杂的跟踪功能,在编写简单的eBPF程序就可以实现功能的情况下,可以使用bpftrace。在高版本内核(4.x)中能够直接使用bpftrace。下述环境是在CentOS 8-Stream,4.18.0的内核中进行的实验。bpftrace需要提前安装:

yum install -y bpftrace

查看bpftrac能够跟踪的所有内核跟踪点:

bpftrace -l

跟踪点一般可以分为tracepoint(内核静态探针)、kprobe(内核动态函数指针)和kfunc(基于bpf的内核动态函数指针),kprobe和kfunc是不稳定接口,tracepoint是稳定接口,有限选择使用tracepoint接口,能够保证在不同版本的内核中的可移植性。

在BTF可用的前提下,能够使用bpftrace来打印内核中的结构体定义,例如

bpftrace -vl "kvmppc_xive"

查询一个函数的入参:

bpftrace -lv tracepoint:syscalls:sys_enter_execve

跟踪系统调用的入参值:

bpftrace -e 'tracepoint:syscalls:sys_enter_execve {join(args->argv);}'

bpftrace -e 'tracepoint:syscalls:sys_exit_execve { printf("%-6d %-8s ret=%d \n",pid,comm,args->ret); }'

查看内核函数调用栈

bpftrace -e 'kprobe:vfs_open { @[kstack(perf)] = count(); }'

除了可以使用bpftrace来跟踪内核态,还可以使用bpftrace来跟踪用户态程序,例如下面的test.c文件

#include <stdio.h> 
int main(int argc, char **argv) { 
    printf("hello world!\n"); return 0;
}

编译

gcc -g -o test test.c

使用bpftrace获取返回值:

bpftrace -e 'uretprobe:/home/gjw/test:main {printf("%d\n", retval);}'

查看所有的可跟踪点uprobe和uretprobe

bpftrace -vl 'uprobe:/home/test:*' bpftrace -vl 'uretprobe:/home/test:*'

除了上述tracepoint、kprobe、kfunc、uprobe、uretprobe探针外,bpftrace还有针对hardware和software的探针

bpftrace -l | grep software bpftrace -l | grep hardware

aolitianya
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
专栏目录
内核bpftrace的实现原理
08-08
内核内核bpftrace的实现原理
bpf对内核的观测
cs的专栏
10-20 549
bpftrace 总的来说是对线上项目的系统调用的函数的观测,因为这时已经不能往函数里面加log了。相关的开源项目 https://github.com/iovisor/bpftrace
bpftrace(三):bpftrace的各种使用范例
legend050709的专栏
12-14 1789
bpftrace使用范例
安装bpftrace遇到的坑
董广明的博客
05-09 1503
与时俱进,因为很多高级特性其实是内核提供的,而非某语言或框架 前提先按我的文章:在centos7上升级linux kernel到5系列https://blog.csdn.net/dong19891210/article/details/113750557, 升级下内核。 参考: How To Install GCC on CentOS 7https://linuxhostsupport.com/blog/how-to-install-gcc-on-centos-7/ ...
使用bpftrace进行内核跟踪
程序猿Ricky的日常干货
03-10 5658
bpftrace工具用法 单行命令工具: bpftrace -e 'program' bpftrace直接跟-e选项后面加单行命令,一些示例,比如: bpftrace -e 'BEGIN { printf("Hello world!\n"); }' bpftrace -e 'kprobe:vfs_read { @[tid] = count();}' bpftrace -e 'kprobe:vfs_read /pid == 123/ { @[tid, comm] = count();}' bpftrace
Linux性能工具-bpftrace入门
spquan的博客
04-21 6446
一、bpftrace简介 bpftrace 是基于ebpf内核vm扩展出来的trace工具。 bpftraceLinux 高级追踪工具和语言。该工具基于 eBPF 和 BBC 实现了通过探针机制采集内核和程序运行的信息,然后用图表等方式将信息展示出来,帮助开发者找到隐藏较深的 Bug、安全问题和性能瓶颈。github主页介绍如下:bpftrace 是一种基于 Linux 的eBPF高级跟踪语言,可用于最新的 Linux 内核 (4.x)。bpftra...
bpftrace(一):bpftrace介绍
legend050709的专栏
12-14 1834
bpftrace
bpftrace原理与使用方法
m0_68678128的博客
12-06 1548
以'$'标志起来定义与引用变量,例如:$idx = 0;
基于ebpf的性能工具-bpftrace脚本语法
Rice开发经验分享
10-16 243
bpftrace 通过高度抽象的封装来使用 eBPF,大多数功能只需要寥寥几笔就可以运行起来,可以很快让我们搞清楚 eBPF 是什么样的,而暂时不关心 eBPF 复杂的内部机理。由于 bpftrace 深受 AWK 和 c 的影响,bpftrace 使用起来于 AWK 非常相似,那些内核 hook 注入点几乎可以按普通字符串匹配来理解,非常容易上手。前面我们介绍了如何部署bpftrace工具,并且介绍了如何运行bpftrace脚本,这篇文章将介绍bpftrace脚本的语法。
eBPF学习记录(六)bpftrace常用例子记录
jianjian的博客
07-27 548
bpftrace -l” 列出所有探针,并且可以添加搜索项。?
bpftracebpftrace是内核实时跟踪(调试)工具,类似于Illumos上的dtrace。 Ubuntu不提供此软件包
02-12
bpftrace bpftrace是用于Linux增强的Berkeley数据包筛选器(eBPF)的高级跟踪语言,该语言在最新Linux内核(4.x)中可用。 bpftrace使用LLVM作为后端将脚本编译为BPF字节码,并利用与Linux BPF系统进行交互以及现有Linux跟踪功能:内核动态跟踪(kprobes),用户级动态跟踪(uprobes),和跟踪点。 bpftrace语言受awk和C以及DTrace和SystemTap等以前的跟踪程序的启发。 bpftrace由创建。 要了解有关bpftrace的更多信息,请参见《和《单线 。 一线 以下一线展示了不同的功能: # Files opened by process bpftrace -e 'tracepoint:syscalls:sys_enter_open { printf("%s %s\n", comm, str(args
半静态编译的bpftrace:v0.16.0
09-02
半静态编译的bpftrace,版本v0.16.0,库依赖如下: $ ldd bpftrace_v0_16_0 linux-vdso.so.1 (0x00007ffec589f000) librt.so.1 => /lib/x86_64-linux-gnu/librt.so.1 (0x00007fef1540d000) libpthread.so.0 => /...
静态编译的bpftrace可执行程序v0.12.0
09-02
静态编译的bpftrace,不依赖任何动态库,版本为:0.12.0. https://github.com/iovisor/bpftrace https://github.com/iovisor/bpftrace/releases/tag/v0.12.0
bpftrace-tetris:bpftrace中的俄罗斯方块
03-22
如果您不能随时访问最新Linux内核和bpftrace,则可以尝试使用包含的Vagrant文​​件,该文件启动ubuntu eoan,因此您仍然可以玩俄罗斯方块! 从下载流浪汉,并确保已VMWare或 。 安装两个,然后运行: vagrant ...
基于容器的bpftrace,版本为0.16.0
09-03
bpftrace放到容器中,容器使用的是ubunt focal。 解压之后: bpftrace_docker$ ./bpftrace.sh ./trace.bt 或者 bpftrace_docker$ ./bpftrace.sh -e 'BEGIN {printf("Hello\n");}'
linux-journal日志文件特别大怎么办,journal日志文件学习
你是我的天晴
04-28 185
今天发现磁盘容量不多了,就去清理磁盘,发现这个文件特别大:journal,特此来学习下。
Linux|Awk 变量、数字表达式和赋值运算符
冷冻工厂
04-25 597
同样,数字 22 被赋予了变量 port_no,还可以把一个变量的值赋给另一个变量,就像最后一个例子中,将变量 computer_name 的值赋给了变量 server。例如,假设有一个名为 names.txt 的文件,该文件列出了一个应用程序的用户的名单,包括他们的名、姓和性别。要理解在 Awk 中数值表达式的运用,来看下面的例子,这个例子中用到了一个名为 domains.txt 的文件,这个文件列出了 Tecmint 所持有的所有域名。接下来,将探讨 Awk 的最后一个特性——赋值运算符。
Linux:浏览器访问网站的基本流程(优先级从先到后)
fox_kang的博客
04-28 665
浏览器访问网站的基本流程(优先级从先到后) 首先查找浏览器是否存在该网站的访问缓存 其次查找本机的域名解析服务器 windows:C:\Windows\System32\drivers\etc\hosts Linux:/etc/hosts 使用外部的域名解析服务器解析(例如:114.114.114.114) 第一步:浏览器使用域名访问www.bilibili.com.网站 第二步:首先去访问根域名解析服务器查询,根服务器返回.com域名解析服务器地址==(这里的根域名解析服务器不会直接给出域名对应的
Linux 第十八章
最新发布
一怀明月的博客
05-01 848
程序地址空间 区间的地址分布 真正理解同一个地址进行读取不同内容 地址空间 虚拟地址和物理地址 虚拟地址: 物理地址: struct mm_struct 页表
bpftrace 编译
09-07
你还可以参考推荐链接中的文章,其中提供了关于 bpftrace 的更多信息和使用示例。 总结起来,要编译 bpftrace,你需要进行以下步骤: 1. 安装依赖项,包括 LLVM、Clang 和其他必要的库。 2. 下载 bpftrace 源代码。...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

aolitianya

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值