systemtap的网络监控脚本

最新推荐文章于 2021-08-07 17:09:27 发布
最新推荐文章于 2021-08-07 17:09:27 发布
阅读量299 收藏 1
点赞数

stap自带的与网络相关的probe如下,可用于检测一系列网络活动
netdev.close/open--关闭打开设备时调用;dev_name--涉及的设备名
netdev.receive--从网络设备接收的数据;参数:protocl--数据包的协议;dev_name--设备名,诸如eth0;length--接收buffer的长度
netdev.rx--当设备即将接收数据包时调用;参数:protocol--数据包协议;dev_name--接收的设备名
netdev.transmit--发送数据的网络设备;protocol/dev_name/length/truesize--传送的数据大小


socket.aio_read--通过sock_aio_read接收信息时调用;size信息大小type套接字类型protocol协议名
socket.aio_write--通过sock_aio_write发送信息时调用;size信息大小type套接字类型protocol协议名
socket.create--创建套接字;type套接字类型protocol协议名
socket.receive--套接字接收信息;success发送是否成功1失败0size信息大小type套接字类型protocol协议名
socket.send--发送信息;success发送是否成功1失败0size信息大小type套接字类型protocol协议名
socket.sendmsg--正在发送信息的套接字;


tcp.disconnect--退出TCP连接;dport/sport目标/源端口;saddr/daddr源IP/目标IP;
tcp.disconnect.return
tcp.receive--接收TCP包;protocol协议名dport/sport/saddr/daddr/ack/fin/syn
tcp.recvmsg--正在接收TCP信息;
tcp.sendmsg--正在发送TCP信息;


netfilter.ip.local_in--Called on an incoming IP packet addressed to the local computer
netfilter.ip.local_out-- Called on an outgoing IP packet
netfilter.ip.forward - Called on an incoming IP packet addressed to some other computer


例1
network/netfilter_drop.stp
丢弃接收的TCP/UDP前N个包
# stap -g netfilter_drop.stp TCP 1 -c "sleep 2"
#! /usr/bin/env stap
global drop_count
#将网络协议从数字转换为等义字符串,6=TCP 17=UDP
function convert_protocol(proto_n) {
   proto_s="Other"
   if (proto_n==6)
     proto_s="TCP"
   else if(proto_n==17)
     proto_s="UDP"
   return proto_s
}
probe netfilter.ipv4.local_in {
#传入参数length--包长度 nf_stop--将此包定义为stop, verdict--该包最终处理决定
  if(convert_protocol(protocol) ==@1 || @1=="ALL") {
    if(@count(drop_count[@1])>=$2 && $2 !=0)
      exit()
    else {
      $verdict=nf_stop
      drop_count[@1]<< #使用聚集数组,可同时对其执行count/sum操作
   }
  }
}
probe begin {
#判断参数1参数2是否符合标准
  if (@1 !='TCP' || @1 !='UDP' && @1 !='ALL') || ($2<0) {
    printf("Please enter \"TCP\", \"UDP\" or \"ALL\" on the command line, followed by the number of packets to drop.\n")
    exit()
  }
  else
    printf("Dropping packets! Ctrl+C to stop")
}
probe end{
   foreach(proto in drop_count)
     printf("%d %s packets drop, total %d bytes\n",@count(drop_count[proto]),proto,@sum(drop_count[proto]))
}

 


例2
在后台运行,将内核的tcp cwnd覆盖为10,用于改善web server的延迟
#! /usr/bin/stap -g
probe kernel.function("tcp_init_cwnd").return {
  r = $return
  if( r>0 && r<10)
    $return =10;
  counts[r,$return] <<< 1
}
global counts # will be automatically summarized at shutdown
该脚本起始于http://blog.yufeng.info/archives/1173
tcp_init_cwnd.stp
probe kernel.function("tcp_init_cwnd").return
{
$return = $1
}
#设成7个mss
$ sudo stap -p4 -g -m initcwnd tcp_init_cwnd.stp 7
initcwnd.ko
加载到远端机器
$ sudo insmod initcwnd.ko


例3
network/netdev.stp
跟踪网卡活动,提交和接收包以及更改配置
#! /usr/bin/env stap
probe netdev.get_stats ? {
  printf("%s was asked for stats structure\n", dev)
}
probe netdev.register {
  printf("registering netdev_name\n",dev_name)
}
probe netdev.unregister{
  printf("unregistering netdev_name\n",dev_name)
}
probe netdev.ioctl{
  printf("netdev ioctl raised with param:%d and arg:%s\n",cmd,arg)
}
probe netdev.set_promiscuity {
 if (enable)
  printf("Device %s entering in promiscuous mode\n", dev_name)
 else
  printf("Device %s leaving promiscuous mode\n", dev_name)
}
probe netdev.change_rx_flag ? {
 printf("Device %s is changing its RX flags to %d\n", dev_name, flags)
}
probe netdev.change_mtu {
 printf("Changing MTU on device %s from %d to %d\n", dev_name,
    old_mtu, new_mtu)
}
probe netdev.change_mac {
 printf("Changing MAC address on device %s from %s to %s\n",
    dev_name, old_mac, new_mac)
}
probe netdev.transmit {
 printf("Device %s is sending (queued) a packet with protocol %d\n", dev_name, protocol)
}
probe netdev.hard_transmit {
 printf("Device %s is sending (hard) a packet with protocol %d\n", dev_name, protocol)
}
probe netdev.rx {
 printf("Device %s received a packet with protocol %d\n", dev_name, protocol)
}


例4
nettop.stp
按照网络接收或发送次数降序排列,每5秒打印一次
global ifxmit,ifrecv
global ifmerged
probe netdev.transmit {
  ifxmit[pid(),dev_name,execname(),uid()] <<< length  --将发送的包长度存放到ifxmit
}
probe netdev.receive {
  ifrecv[pid(),dev_name,execname(),uid()] <<< length  --将接受的包长度存放到ifrecv
}
function print_activity {
  printf("%5s %5s %-7s %7s %7s %7s %7s %-15s\n",
          "PID", "UID", "DEV", "XMIT_PK", "RECV_PK",
          "XMIT_KB", "RECV_KB", "COMMAND")
  foreach ([pid,dev,exec,uid] in ifxmit) {--遍历ifxmit,计算相同属性进程发送和接受包的总次数
    ifmerged[pid,dev,exec,uid] += @count(ifxmit[pid,dev,exec,uid]); 
  }
  foreach ([pid,dev,exec,uid] in ifrecv) {
    ifmerge[pid,dev,exec,uid] += @count(ifrecv[pid,dev,exec,uid]);
  }
  foreach ([pid,dev,exec,uid] in ifmerge -) {--按发送+接收次数降序排列
    n_xmit = @count(ifxmit[pid,dev,exec,uid]);--发送次数
    n_recv = @count(ifrecv[pid,dev,exec,uid]);--接收次数
    printf("%5d %5d %-7s %7d %7d %7d %7d %-15s\n",
            pid, uid, dev, n_xmit, n_recv,
            n_xmit ? @sum(ifxmit[pid, dev, exec, uid])/1024 : 0,
            n_recv ? @sum(ifrecv[pid, dev, exec, uid])/1024 : 0,
            exec)
  }
  delete ifmerged
  delete ifxmit
  delete ifrecv
}


probe timer,ms(5000), end, error {
  print_activity()
}


以下为输出
PID UID DEV XMIT_PK RECV_PK XMIT_KB RECV_KB COMMAND
2886 4 eth0 79 0 5 0 cups-polld
11362 0 eth0 0 61 0 5 firefox
0 0 eth0 3 32 0 3 swapper
2886 4 lo 4 4 0 0 cups-polld
11178 0 eth0 3 0 0 0 synergyc
PID UID DEV XMIT_PK RECV_PK XMIT_KB RECV_KB COMMAND
0 0 eth0 0 6 0 0 swapper
2886 4 lo 2 2 0 0 cups-polld
11178 0 eth0 3 0 0 0 synergyc
3611 0 eth0 0 1 0 0 Xorg


例5
socket-trace.stp
跟踪有关net/socket.c的内核调用
#! /usr/bin/env stap
probe kernel.function("*@net/socket.c").call {
printf ("%s -> %s\n", thread_indent(1), ppfunc())
}
probe kernel.function("*@net/socket.c").return {
printf ("%s }
输出如下
0 Xorg(3611): -> sock_poll
3 Xorg(3611): 0 Xorg(3611): -> sock_poll
3 Xorg(3611): 0 gnome-terminal(11106): -> sock_poll
5 gnome-terminal(11106): 0 scim-bridge(3883): -> sock_poll
3 scim-bridge(3883): 0 scim-bridge(3883): -> sys_socketcall
4 scim-bridge(3883): -> sys_recv
8 scim-bridge(3883): -> sys_recvfrom


例6
监控接受到的TCP数据包
#! /usr/bin/env stap
// A TCP dump like example
probe begin, timer.s(1) {
printf("-----------------------------------------------------------------\n")
printf(" Source IP Dest IP SPort DPort U A P R S F \n")
printf("-----------------------------------------------------------------\n")
}
probe tcp.receive {
printf(" %15s %15s %5d %5d %d %d %d %d %d %d\n",
saddr, daddr, sport, dport, urg, ack, psh, rst, syn, fin)
}
输出如下
-----------------------------------------------------------------
Source IP Dest IP SPort DPort U A P R S F
-----------------------------------------------------------------
209.85.229.147 10.0.2.15 80 20373 0 1 1 0 0 0
92.122.126.240 10.0.2.15 80 53214 0 1 0 0 1 0
92.122.126.240 10.0.2.15 80 53214 0 1 0 0 0 0
209.85.229.118 10.0.2.15 80 63433 0 1 0 0 1 0


例7
监控内核丢弃的网络包
dropwatch.stp
#! /usr/bin/env stap
global locations
probe begin { printf("Monitoring for dropped packets\n") }
probe end { printf("Stopping dropped packet monitor\n") }
probe kernel.trace("kfree_skb") { locations[$location] <<< 1}
probe timer.sec(5) {
  foreach(l in locations-) {
    printf("%d packets dropped at %s\n", @count(loactions[l]),symname(l))
  }
}
--kfree_skb跟踪内核丢弃网络包,有2个参数:$skb指向被释放的buffer的指针;$location被释放的内核代码位置;
运行stap --all-modules dropwatch.stp
注:如果--all-modules不可用,则symname只会打印出raw地址,此时可以使用/boot/System.map-`uname -r`查看其对应的function
Monitoring for dropped packets
1762 packets dropped at unix_stream_recvmsg
4 packets dropped at tun_do_read
2 packets dropped at nf_hook_slow


例8
监控新建的TCP连接
#! /usr/bin/env stap
probe begin {
printf("%6s %16s %6s %6s %16s\n",
"UID", "CMD", "PID", "PORT", "IP_SOURCE")
}
probe kernel.function("tcp_accept").return?,
kernel.function("inet_csk_accept").return? {
sock = $return
if (sock != 0)
printf("%6d %16s %6d %6d %16s\n", uid(), execname(), pid(),
inet_get_local_port(sock), inet_get_ip_source(sock))
}
输出如下
UID CMD PID PORT IP_SOURCE
0 sshd 3165 22 10.64.0.227
0 sshd 3165 22 10.64.0.227
/usr/share/systemtap/testsuite/systemtap.examples/

来自 “ ITPUB博客 ” ,链接:http://blog.itpub.net/15480802/viewspace-762002/,如需转载,请注明出处,否则将追究法律责任。

转载于:http://blog.itpub.net/15480802/viewspace-762002/

congdiku5262
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
systemtap 应用笔记
Andrew Yang's Note
06-06 502
安装 systemtap yum -y install systemtap 编译开关的设置 用户态程序的编译 并不是每个函数都可以探测的。 只有使用了 -g 的调试开关。才可以支持探测。 而且 -O 的优化开关,也会令到探测点减少。 所以最好在编译的时候使用 -O0 -g3,关闭优化,还有使用高一点的调试级别。 内核的编译 要想编译一个支持Systemtap的内核,必须配置这些内核选项: ...
systemtap beginner
01-24
SystemTap是一个强大的Linux内核调试工具,它允许开发者和管理员通过编写脚本监控和分析Linux系统的行为。它是由Red Hat公司开发和支持的,被广泛用于Linux社区,用以简化内核和用户空间程序的调试过程。SystemTap...
systemtap脚本编写基础很详细
04-18
很全面详细的讲解了systemtap脚本编写基础语法,很好的入门文档
用户态的内存泄漏定位,systemtap的使用
sydyh43的博客
08-07 551
一、回顾 https://blog.csdn.net/sydyh43/article/details/119487171 使用以上的方法定位内存泄漏时,在最后解析堆栈的时候比较麻烦。可以使用systemTap工具提升一下 二、构建内存泄漏 https://blog.csdn.net/sydyh43/article/details/119485691 三、systemTap的安装 PC端 https://blog.csdn.net/sydyh43/article/details/11928183
systemtap系列之实用脚本
weixin_34124939的博客
06-20 421
安装完systemtap相关rpm包之后, 在路径/usr/share/systemtap/testsuite/systemtap.examples/或者/usr/share/doc/systemtap-client-3.0/examples/network/中有所有可实用的脚本。 1. 网络 查看系统中每个进程的网络传输情况: nettop...
systemtap调试内存泄漏以及内存重复释放
yiyeguzhou100的专栏
08-22 1965
我想内存问题肯定困扰过不少人,调用方法也很多,著名的valgrind、efence、mudflap在一定程度上也能帮助我们解决不少问题,但一些情况下它们也无能无力,比如多进程模型上valgrind好像支持得不是很好,efence和mudflap在大型项目中特别是用了其他第三方库的情况下,可能就早早的发现其他库的一些不是问题的问题就退出了,在一些小项目中用还是可以的。那我这里讲的这个技巧就是用Sys...
使用动态跟踪技术SystemTap监控Oracle和mysql性能——吕海波@美创科技.pdf
08-24
动态跟踪技术,特别是SystemTap,是一种强大的工具,用于在不影响程序正常运行的情况下,实时地监控和分析系统行为。SystemTap是专为Linux设计的一种动态跟踪框架,它允许开发者编写脚本,这些脚本可以在内核级别...
systemTap英文文档集合.7z
02-26
5. **stap_tutorial.pdf**:这是一个systemTap的教程,通过一系列逐步的实例,指导用户如何解决实际问题,例如调试应用程序、分析系统瓶颈、监控网络活动等。它将理论与实践相结合,使读者能够通过实践学习systemTap...
SystemTap_Beginners_Guide.pdf
12-03
总之,SystemTap是Linux环境下性能分析和故障排除的重要工具,通过简单的脚本即可实现对内核和系统调用的深入监控,极大地简化了内核调试和分析的过程。但是,它同样需要谨慎使用,避免由于不当脚本导致的系统问题。
systemtap-archpaper.pdf
06-11
探针能够与SystemTap脚本关联,以在运行时监控系统状态或在特定事件发生时执行用户定义的指令。 SystemTap脚本语言为用户提供了丰富的指令集,允许用户编写复杂的追踪逻辑来访问内核数据结构和用户空间程序信息,...
如何利用SystemTap统计函数执行耗时详解
01-20
前言 当我们需要对应用程序进行系能分析时,我们通常可以使用perf...很多情况下,代码在执行时,其函数符号并不一定是代码中写的名称,因此我们可以使用以下脚本打印 出应用程序中在调用的函数符号。 probe process(/d
使用 SystemTap 调试内核
07-30
SystemTap 提供了一种简单的命令行接口和一套强大的脚本语言,用户可以利用这些脚本对内核行为进行观测,包括跟踪系统调用、检查内存状态、监控网络活动等。此外,SystemTap 还包含丰富的预定义脚本库,便于用户直接...
SystemTap_Beginners_Guide
01-04
SystemTap Beginners Guide》通过对SystemTap脚本的构建和操作的深入讲解,帮助用户从零开始构建SystemTap监控环境,并逐步深入了解SystemTap的高级特性,最终能够熟练使用SystemTap进行Linux内核级别的调试和性能...
systemtap
03-11
- **网络性能监控**:监控TCP连接、数据包发送和接收,以评估网络性能。 5. **Systemtap与其他工具的比较** - **对比strace**:strace只能追踪系统调用,而Systemtap可以扩展到更复杂的事件和用户空间。 - **...
centos7.4.1708 的systemtap的rpm包及其依赖
05-23
SystemTap是Linux操作系统中的一款强大的动态诊断工具,它允许用户以脚本语言的方式对系统进行监控和调试。在CentOS 7.4.1708这个特定的环境中,SystemTap通过RPM(Red Hat Package Manager)包的形式提供,使得用户...
kprobe和systemtap
wjflyhigh的专栏
04-09 3888
内核探测kprobe kprobe(内核探测,kernel probe)是一个动态地收集调试和性能信息的工具,如:收集寄存器和全局数据结构等调试信息,无需对Linux内核频繁编译和启动。用户可以在任何内核代码地址进行陷阱,指定调试断点触发时的处理例程。工作机制是:用户指定一个探测点,并把用户定义的处理函数关联到该探测点,当内核执行到该探测点时,相应的关联函数被执行,然后继续执行正常的代码路径
​内核调试技巧--systemtap定位丢包原因
腾讯技术工程
04-08 1410
作者:wqiangwang,腾讯 TEG 后台开发工程师内核收发包,可能会由于backlog队列满、内存不足、包校验失败、特性开关如rpf、路由不可达、端口未监听等等因素将包丢弃。在内核里...
centos7 systemtap 介绍
手边笔记
05-27 2233
systemtap
linux查询进程命令stap,linux systemtap, stap++使用
weixin_35980267的博客
05-07 1751
8种机械键盘轴体对比本人程序员,要买一个写代码的键盘,请问红轴和茶轴怎么选?说明介绍systemtap, stap++的一些使用方式,以及总结了一些遇到的坑点systemtap介绍systemtap跟perf一样也是一个linux下的性能分析工具,但它提供自定义脚本编写,所以功能会比perf更强大。快速了解systemptab功能最简单的systemtab脚本12345probe begin{p...
SystemTap 1.6新手指南:深度监控Fedora系统
3. **基本探查脚本**: 学习者将学会如何编写基本的SystemTap脚本,这些脚本可以监控特定的系统事件、进程或网络活动。作者会通过实例演示探查器的工作原理和编写探查脚本的最佳实践。 4. **深入功能**: 更高级的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值