kprobe与perf probe使用简单记录

最新推荐文章于 2023-10-29 09:57:01 发布
最新推荐文章于 2023-10-29 09:57:01 发布
阅读量3.6k 收藏
点赞数
分类专栏: linux 文章标签: perf kprobe
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/bbccaaac/article/details/102601982
版权

kprobe事件添加格式:

p[:[GRP/]EVENT] [MOD:]SYM[+offs]|MEMADDR [FETCHARGS] --增加探测点
r[:[GRP/]EVENT] [MOD:]SYM[+0] [FETCHARGS] --增加return探测点
-:[GRP/]EVENT --删除探测点

各字段说明:

GRP : Group name. If omitted, use “kprobes” for it. --指定后会在events/kprobes目录下生成对应名字的目录,一般不设
EVENT : Event name. If omitted, the event name is generated?based on SYM+offs or MEMADDR. --指定后会在events/kprobes/<GRP>目录下生成对应名字的目录
MOD : Module name which has given SYM. --模块名,一般不设
SYM[+offs] : Symbol+offset where the probe is inserted. --指定被探测函数和偏移
MEMADDR : Address where the probe is inserted. --指定被探测的内存绝对地址
FETCHARGS : Arguments. Each probe can have up to 128 args. --指定要获取的参数信息
%REG : Fetch register REG --获取指定寄存器值
@ADDR : Fetch memory at ADDR (ADDR should be in kernel) --获取指定内存地址的值
@SYM[+|-offs] : Fetch memory at SYM +|- offs (SYM should be a data symbol) ?–获取全局变量的值
$stackN : Fetch Nth entry of stack (N >= 0) --获取指定栈空间值,即sp寄存器+N后的位置值
$stack : Fetch stack address. --获取sp寄存器值
$retval : Fetch return value.(*) --获取返回值,仅用于return probe
+|-offs(FETCHARG) : Fetch memory at FETCHARG +|- offs address.(**) --以下可以由于获取指定地址的结构体参数内容,可以设定具体的参数名和偏移地址
NAME=FETCHARG : Set NAME as the argument name of FETCHARG.
FETCHARG:TYPE : Set TYPE as the type of FETCHARG. Currently, basic types (u8/u16/u32/u64/s8/s16/s32/s64), “string” and bit field are supported.

使用例子:
切换目录:
[root@localhost ~]# cd /sys/kernel/debug/tracing
添加返回事件探测点:
[root@localhost tracing]# echo ‘r:myretprobe acl_permission_check ret=$retval’ >> kprobe_events
查看输出格式:
[root@localhost tracing]# cat events/kprobes/myretprobe/format
启用跟踪:
[root@localhost tracing]# echo 1 > events/kprobes/myretprobe/enable
执行相关命令
停止跟踪:
[root@localhost tracing]# echo 0 > events/kprobes/myretprobe/enable
查看结果:
[root@localhost tracing]# cat trace
删除探测点:
[root@localhost tracing]# echo ‘-:myretprobe’ >> kprobe_events

通过以上方法添加事件探测点后,也可以通过perf probe查到相关事件,并可以跟踪和移除该事件:
[root@localhost ~]# perf probe --list
/sys/kernel/debug/tracing/uprobe_events file does not exist - please rebuild kernel with CONFIG_UPROBE_EVENTS.
kprobes:myretprobe (on acl_permission_check%return with ret)
跟踪:
[root@localhost ~]# perf record -e kprobes:myretprobe -aR
获得结果:
[root@localhost ~]# perf script
移除事件:
root@localhost ~]# perf probe -d kprobes:myretprobe

PS:在生产系统中使用perf probe时居然不能添加return探测点(测试系统可以正常添加),原因未知,因此使用了kprobe来增加return探测点,添加后一样可以使用perf record进行跟踪

参考:
https://blog.csdn.net/luckyapple1028/article/details/52972315/
http://www.brendangregg.com/perf.html
man perf-probe

A-CSer
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
kprobe_rootkit:使用 kprobes 的 Linux 内核 rootkit(来自 http
06-18
kprobe_rootkit
工具使用,linux系统级性能分析工具 — Perf
m0_37542524的博客
06-30 2154
文章目录1,简介2,安装perf3,perf-list3.1,性能事件的分布3.2,指定性能事件(以它的属性)3.3,使用例子4,perf-top4.1,输出格式4.2,常用交互命令4.3,常用命令行参数4.4,使用例子5,perf-stat5.1,输出格式5.2,常用参数5.3,使用例子6,perf-record6.1,常用参数6.2,使用例子7,perf-report7.1,常用参数7.2,使...
perf 高级命令简介
weixin_33937913的博客
07-27 147
perf 高级命令简介 1.使用 tracepoint 当 perf 根据 tick 时间点进行采样后,人们便能够得到内核代码中的 hot spot。 使用ls命令来演示 sys_enter 这个tracepoint 的使用perf stat -e raw_syscalls:sys_enter ls //  perf record -e raw_syscal...
perf分析工具
qiubinwei的博客
10-29 166
perf是内置与Linux内核源码树中的性能剖析工具。基于事件采样原理,以性能事件为基础,支持针对处理器相关性能指标和操作系统相关性能指标的性能剖析。可用于性能瓶颈的查找与热点代码的定位。系统级性能优化分为两个阶段:性能剖析和代码优化。通过perf,应用程序可以利用PMU、TracePoint和内核中的计数器来进行性能统计。#perf#perf list -->查看当前系统支持的性能事件perf bench -->针对系统性能进行摸底perf test -->针对系统进行健全性能测试。
Linux性能优化实战:案例篇-动态追踪怎么用?(下)(51)
weixin_30235225的博客
09-24 489
一、上节回顾 上一节,我带你一起学习了常见的动态追踪方法。所谓动态追踪,就是在系统或者应用程序正常运行的时候,通过内核中提供的探针,来动态追踪它们的行为,从而辅助排查出性能问题的瓶颈。 使用动态追踪,可以在不修改代码、不重启服务的情况下,动态了解应用程序或者内核的行为,这对排查线上问题、特别是不容易重现的问题尤其有效。 在 Linux 系统中,常见的动态追踪方法包括 ftrace、...
Linux perf probe 的使用(三)
小立仔
02-09 2985
Linux perf probe 的简单使用
perf probe笔记
qq_38349235的博客
08-03 533
使用apt直接下载的5.10版本不兼容,需要源码安装。目录下可找到perf工具自动添加的事件组。(根据被添加探针的可执行程序命名)可看到对应目录下show_5已删除。
系统级性能分析工具perf的安装与使用
热门推荐
FZeroTHero的博客
11-05 1万+
介绍 安装环境:Ubuntu16.04 + kernel 4.4.30 系统级性能优化通常包括两个阶段:性能剖析(performance profiling)和代码优化。 性能剖析的目标是寻找性能瓶颈,查找引发性能问题的原因及热点代码。 代码优化的目标是针对具体性能问题而优化代码或编译选项,以改善软件性能。 在性能剖析阶段,需要借助于现有的profiling工具,如perf等。在代码优化阶段往往需...
包罗万象-perf命令介绍
weixin_43079395的博客
04-14 995
大家好,我是程栩,一个专注于性能的大厂程序员,分享包括但不限于计算机体系结构、性能优化、云原生的知识。今天我们来聊一聊perf的相关命令,更进一步的了解perf。本文是perf系列的第四篇文章,后续会继续介绍perf,包括用法、原理和相关的经典文章。
Linux内核调试原理和工具介绍--理解静态插装/动态插装、tracepoint、ftrace、kprobe、SystemTap、Perf、eBPF
网络安全研究
04-28 4800
可以将linux跟踪系统分成Tracer(跟踪数据来自哪里),数据手机分析(如"ftrace")和跟踪前端(更方便的用户态工具)。 1. 数据源(Tracers) printk 是一种方法, 但是 printk 终归是毫无选择地全量输出, 某些场景下不实用。 Tracepoint属于静态插装, 是散落在内核源代码中的一些 hook,一旦使能,它们便可以在特定的代码被运行到时被触发。比如Ftrace...
lkdtm.rar_crash_kprobe
09-24
Kprobe module for testing crash dumps.
kprobe分析
06-15
对kprobe的简单分析,也有不完全的地方
kprobe_jprobe
01-22
kprobe,jprobe test, kprobe,jprobe testkprobe,jprobe test
【性能】perf工具简介
bandaoyu的note
10-11 2483
perf 架构图总览 Events 事件主要有哪些 hardware events:CPU performance monitoring counters software events: 基于kernel counters的低水平事件,比如cpu迁移、minor faults、major faults等等 kernel tracepoint events:编码嵌入在内核中的内核级别静态测试点 User statically-defined tracing(USDT): 用户级别的静态测试
perf 常见使用方法
qq_42931917的博客
11-02 2503
perf
Perf使用笔记
小羊苏C的博客
02-08 771
softevent有default period 采样的时候是采集到一定的数量报一次(不然报太多了 你看stack有一个给你看就够了)可以通过perf record -vv看具体的。例如: perf record -e Lrdxaxhe-load-misses -c 10000 -ag -- sleep 5。perf probe --add 'tcp_sendmsg size' 加probe同时记录size。-> 使用perf可能会提示安装包含symbols的debug包,多以'--dbgsym'结尾。
perf内核跟踪和探测
frankzfz的专栏
10-17 698
前面的文章中介绍了使用bcc systemtap等跟踪命令,对内核进行跟踪,还有一个perf工具,作为内核自带的内核分析工具,也可以对内核跟踪和观测,perf的不同之处在于可以方便的分析内核中那个函数占用的CPU时间较多,成为影响系统性能的主要主要因素,所以被称为:Performance Counters for Linux (PCL)。在使用perf命令跟踪内核变量可以使用下面的命令,本篇文章还是使用icmp_rcv函数作为跟踪的示例函数:执行下面的命令。前面有行号的是可以追踪的内核源码。
使用perf分析网络系统调用栈
手边笔记
03-10 2119
使用perf分析网络系统调用栈 1. 增加事件 比如增加了如下网络通信相关的系统调用: # perf probe --add sys_writev='sys_writev' # perf probe --add sys_writev_exit='sys_writev%return' # perf probe --add vfs_writev_exit='vfs_writev%return' # perf probe --add do_readv_writev_exit='do_readv_writev%re
node-v6.9.4-linux-s390x.tar.xz
最新发布
05-09
Node.js,简称Node,是一个开源且跨平台的JavaScript运行时环境,它允许在浏览器外运行JavaScript代码。Node.js于2009年由Ryan Dahl创立,旨在创建高性能的Web服务器和网络应用程序。它基于Google Chrome的V8 JavaScript引擎,可以在Windows、Linux、Unix、Mac OS X等操作系统上运行。 Node.js的特点之一是事件驱动和非阻塞I/O模型,这使得它非常适合处理大量并发连接,从而在构建实时应用程序如在线游戏、聊天应用以及实时通讯服务时表现卓越。此外,Node.js使用了模块化的架构,通过npm(Node package manager,Node包管理器),社区成员可以共享和复用代码,极大地促进了Node.js生态系统的发展和扩张。 Node.js不仅用于服务器端开发。随着技术的发展,它也被用于构建工具链、开发桌面应用程序、物联网设备等。Node.js能够处理文件系统、操作数据库、处理网络请求等,因此,开发者可以用JavaScript编写全栈应用程序,这一点大大提高了开发效率和便捷性。 在实践中,许多大型企业和组织已经采用Node.js作为其Web应用程序的开发平台,如Netflix、PayPal和Walmart等。它们利用Node.js提高了应用性能,简化了开发流程,并且能更快地响应市场需求。
BPF_PROG_TYPE_KPROBE与BPF_PROG_TYPE_SYSCALL的作用有什么不同
04-01
BPF_PROG_TYPE_KPROBE和BPF_PROG_TYPE_SYSCALL都是eBPF程序类型,但它们的作用不同。 BPF_PROG_TYPE_KPROBE是用于内核探测点的eBPF程序类型。它可以被插入到内核函数的入口或出口处,以便监控和调试内核行为。...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值