BPF学习笔记(一)--BPF概述

        BPF的英文是Berkeley  Packet  Filter的缩写,直白的翻译过来就是伯克利数据包过滤器,从这个英文翻译可以看出,BPF原先是针对网络的数据包进行各种操作处理的一个工具集。目前已经发展到对内核事件和用户空间事件进行跟踪的一套综合的工具集。BPF的原理简单解释为,在各种内核事件和应用程序事件的发生的前面,运行一小段程序,通过运行的这段程序获取到例如:函数调用的流程、结构体内的变量值等有利于分析问题的信息。BPF在2014年正式加入Linux内核主线,随着BPF的在内核中发展,以及 eBPF的出现,已经可以对内核中绝大部分的子系统进行跟踪观测。

        BPF跟踪检测有两个前端的工具BCC和bpftrace。BCC为BPF编译器集合,BPF  Compiler Collection,他提供了开发BPF跟踪程序的高级框架,提供了一个编写内核BPF程序的C语言环境,同时也提供了 Python和Lua等用户端的接口。BCC自身大概提供了97个BPF工具(截止到BCC-0.24版本。),bpftrace大概提供了35个可用工具。当然我们可以在这个基础和框架之下,开发符合我们自己的实际需求的BPF工具。

         BPF工具主要是为分析和定位Linux系统中出现一些性能问题,包括内核和应用程序两个方向,当然也可以通过打印出调用程序的堆栈信息,获取到函数的调用关系

                                                            图:BCC工具
                                                         图:bpftrace工具

BPF主要思维导向图:

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值