BPF学习笔记(二)-- 基于BCC的BPF示例程序

已于 2022-10-12 19:09:04 修改
阅读量730 收藏 2
点赞数
分类专栏: Linux操作系统 文章标签: linux
于 2022-10-12 19:03:42 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/frankzfz/article/details/127288594
版权

        结合前面一篇针对BPF的学习,本篇文章重点介绍编写一个对内核系统调用exec的例子。本测试例子基本上包含了全部的,syscall类别系统调用的BPF的框架。

#!/usr/bin/python
from __future__ import print_function
from bcc import BPF
from collections import defaultdict

bpf_text = """
#include
#include
#include

#define ARGSIZE 256
struct data_t {
      u32 pid; // PID as in the userspace term (i.e. task->tgid in kernel)
      char comm[TASK_COMM_LEN];
      char argv[ARGSIZE];
 };

BPF_PERF_OUTPUT(events);

int syscall__execve(struct pt_regs *ctx,
                   const char __user *filename,
                   const char __user *const __user *__argv,
                   const char __user *const __user *__envp)
{
    struct data_t data = {};


    bpf_trace_printk("Hello, World!222%s\\n",filename);
    data.pid = bpf_get_current_pid_tgid();
    bpf_get_current_comm(&data.comm,sizeof(data.comm));

    bpf_probe_read_user(data.argv, sizeof(data.argv), filename);

    events.perf_submit(ctx, &data, sizeof(struct data_t));

    return 0;
}

"""
b = BPF(text=bpf_text)
execve_fnname = b.get_syscall_fnname("execve")
b.attach_kprobe(event=execve_fnname, fn_name="syscall__execve")
print("%-18s %-16s %-14s" % ("COMM", "PID","ARGS"))


argv = defaultdict(list)

def print_event(cpu, data, size):
    event = b["events"].event(data)
    argv[event.pid].append(event.argv)

    argv_text = b' '.join(argv[event.pid]).replace(b'\n', b'\\n')

    print("%-18s %-16d %-14s" % (event.comm, event.pid,argv_text))


b["events"].open_perf_buffer(print_event)
while 1:
    try:
        b.perf_buffer_poll()
    except KeyboardInterrupt:
        exit()

主要注意点:

1. BPF_PERF_OUTPUT   创建BPF的table,通过Perf 的环形缓存区,把用户定义的event事件的数据推送到用户空间,这是把事件数据推送到用户空间的首选的方式。 也就是如果把从内核中获取到的数据,push到用户空间进行处理和展示,在代码中添加该宏。

2. b.attach_kprobe(event=execve_fnname, fn_name="syscall__execve") 这里的fn_name="syscal__execve"函数名,保持格式的绝对一致,也就是syscall__ 后面两个下划线,execve名字和内核中syscall保持一致。
3.  在内核中插桩syscall__execve 函数时,这里的第一个参数struct pt_regs *ctx 保持固定,其余的参数是syscall类函数保持一致的,下面是调用execve的参数。

 int execve(const char *pathname, char *const argv[], char *const envp[]);

4.  其实整个程序包含了两个部分,一个是python的客户端,一个是以字符串的形式bpf_text出现的插桩函数,使用C语言编写,整个测试程序包含了,用户空间和内核空间的代码。

5  bpf_trace_printk函数,类似于C语言中printf,编写bpf程序时,可以用来调试打印相关信息。注意该打印函数会将信息输出到下面的文件中:/sys/kernel/debug/tracing/trace_pipe,通过跟踪该文件进行查看。

6. print_even 函数时对内核中获取的数据和信息的统一展示。

frankzfz
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
bccBCC-用于基于BPFLinux IO分析,联网,监视等工具
02-07
BPF编译器集合(BCCBCC是用于创建有效的内核跟踪和操作程序的工具包,其中包括一些有用的工具和示例。 它利用扩展的BPF(伯克利数据包过滤器),正式称为eBPF,这是Linux 3.15首次添加的新功能。 BCC使用的大多数工具都需要Linux 4.1及更高版本。 eBPF被IngoMolnár为: 此循环中更有趣的功能之一是能够将eBPF程序(由内核执行的用户定义的沙盒字节码)附加到kprobes。 这样就可以在实时内核映像上进行用户定义的检测,而该映像永远不会崩溃,挂起或对内核产生负面影响。 BCC借助C中的内核工具(包括围绕LLVM的C包装器)以及Python和lua的前端,使BPF程序更易于编写。 它适用于许多任务,包括性能分析和网络流量控制。 屏幕截图 本示例跟踪磁盘I / O内核功能,并填充I / O大小的内核内2幂幂直方图。 为了提高效率,仅将直方图摘要返回到
bpf-lsm:具有LSM挂钩的示例BPF程序
02-11
此仓库包含脚本和示例程序,可与BPF CO-RE模块和LSM一起使用。 为了完全可移植(假设有足够新的内核),并展示它如何与Rust程序互操作,用户空间组件以Rust和C的组合编写,并用clang编译,并与musl链接。 结果应该...
Berkeley Packet Filter (BPF) BCC
weixin_34128501的博客
11-27 236
http://www.brendangregg.com/ebpf.html https://qmonnet.github.io/whirl-offload/2016/09/01/dive-into-bpf/ A thorough introduction to eBPF https://lwn.net/Articles/740157/     http://netdevconf.org...
ebpf_bcc_tools之stacksnoop(跟踪进程指定内核函数堆栈调用信息)
最新发布
ljbcharles的专栏
04-09 524
ebpf实用案例之跟踪进程指定内核函数堆栈调用信息
Linux BPF hello world C语言示例代码
RToax
04-20 785
摘自《BPF之巅:洞悉Linux系统性能》 #include <stdio.h> #include <stdlib.h> #include <string.h> #include <errno.h> #include <unistd.h> #include <linux/version.h> #include <bpf/bpf.h> #include <bcc/libbpf.h> #define DEBUGFS
BPF编译运行实例
sf_jiang的博客
07-14 915
本文目标是运行一个bpf实例,实现系统运行时,每执行一次系统调用execve的调用监控
BPF之前端工具BCCbpftrace
大吉
04-22 1727
BPF之前端工具BCC以及bpftrace、bpftrace编程语法基础
cpp-BCC基于BPFLinuxIO分析网络监控等工具
08-16
在"cpp-BCC基于BPFLinux IO分析网络监控等工具"这个主题中,我们可以看到iovisor-bcc-734a3ec这个压缩包可能包含了BCC的源代码或者预编译工具。解压后,开发者可以浏览源代码,学习BPF程序的编写方法,或者直接...
BPF-Performance-Tools-by-Brendan-Gregg.pdf
01-13
BPF-Performance-Tools-by-Brendan-Gregg
bpf-pipesnoop:使用eBPF记录基于Shell管道的数据的示例程序
05-11
使用eBPF记录基于外壳管道( | )的数据的示例程序 随我的博客一起 概述 Shell可以使用管道来解析程序之间的数据,例如: curl https://dodgy.com/loader.py | python - 在此示例中,从互联网上下载并执行了python...
go-seccomp-bpf:Go库,用于安装seccomp BPF系统调用过滤器
05-09
go-seccomp-bpf go-seccomp-bpf是Go(golang)的库,用于通过使用安全计算模式(也称为seccomp)在Linux 3.17及更高版本上加载系统调用筛选器。 Seccomp限制进程可以调用的系统调用。 内核公开了大多数进程不使用的...
BPF学习笔记(一)--BPF概述
frankzfz的专栏
10-12 506
BPF的原理简单解释为,在各种内核事件和应用程序事件的发生的前面,运行一小段程序,通过运行的这段程序获取到例如:函数调用的流程、结构体内的变量值等有利于分析问题的信息。BPF跟踪检测有两个前端的工具BCCbpftrace。BCCBPF编译器集合,BPF Compiler Collection,他提供了开发BPF跟踪程序的高级框架,提供了一个编写内核BPF程序的C语言环境,同时也提供了 Python和Lua等用户端的接口。当然我们可以在这个基础和框架之下,开发符合我们自己的实际需求的BPF工具。
BPF学习笔记(三)--BPF示例程序
frankzfz的专栏
10-12 2103
上一篇文章中BPF的例子是以BCC的整体框架为基础,本篇介绍一下基于libbpf库函数为基础,结合内核中的bpf的sample为基础编写一个BPF程序,本篇介绍是以《linux-observability-with-bpf》这本书第章的例子为基础,由于内核版本的不同,本篇介绍是以Linux5.16内核为基础,Linux5.16内核中的接口函数与书中的给到的程序案例有较大的差别。2)随着bpf和内核版本的不断变化,参考本文时需要重点关注不同的内核版本、bpftool、gcc等各类工具的版本。
Linux内核功能eBPF入门学习(一):BPF、eBPFBCC等基本概念
eydwyz的专栏
08-13 4458
Linux内核观测技术BP https://www.lijiaocn.com/%E6%8A%80%E5%B7%A7/2019/02/25/ebpf-introduction-1.html 目录 目录 说明 BPF eBPF带来的新变化 eBPF使用 升级内核 eBPF代码示例 eBPF代码编译装载 使用BCC简化eBPF应用开发过程 BCC安装 BCC收集的eBPF应用 参考 说明 eBPF是kernel 3.15中引入的全新设计,将原先的BPF发展成一个指.
linux编译支持ebpf,Linux内核功能eBPF入门学习(一):BPF、eBPFBCC等基本概念
weixin_32778881的博客
05-10 747
Linux内核观测技术BP目录说明eBPF是kernel 3.15中引入的全新设计,将原先的BPF发展成一个指令集更复杂、应用范围更广的“内核虚拟机”。eBPF支持在用户态将C语言编写的一小段“内核代码”注入到内核中运行,注入时要先用llvm编译得到使用BPF指令集的elf文件,然后从elf文件中解析出可以注入内核的部分,最后用bpf_load_program方法完成注入。 用户态程序和注入到内核...
bpf-bcc加载代码分析
迷失的专栏
10-26 1305
BCC简介 bcc作为bpf的api库,提供了加载、编译,运行bpf代码功能,其核心功能是对bpf的系统调用进行封装,降低bpf使用门槛。 BCC源码介绍 [root@localhost bcc]# ls build CMakeLists.txt CONTRIBUTING-SCRIPTS.md Dockerfile.debian Dockerfile.ubuntu examples images introspection LICENSE.txt man RE
ebpfbcc程序入门
qq_44927248的博客
10-24 1617
了解内核态**如何向用户态传递数据**(BPF_ARRAY,BPF_HASH等和相应增删改查函数,用户态中如何读取数据b[""].items()等函数),了解在挂载函数时**如何选择相应的探针**(kprobes、kretprobes、uprobes、uretprobes),了解如何**从挂载的函数中获取数据**(PT_REGS_PARM*、PT_REGS_RC、以及bpf中定义的有关函数,如bpf_get_current_pid_tgid()),就可以尝试自己编写bcc程序了。
(译)BPF技巧和窍门:bpf_trace_printk() 和 bpf_printk() 指南
nan的博客
08-26 8459
原文:Andrii Nakryiko’s Blog --BPF tips & tricks: the guide to bpf_trace_printk() and bpf_printk() 任何BPF 程序总是需要一些调试才能使其正常工作。 不幸的是,目前还没有 BPF 调试器,所以下一个最好的办法是在周围撒上类似 printf() 的语句,看看 BPF 程序中发生了什么。 printf() 的 BPF 等价物是 bpf_trace_printk() 。 在这篇博文中,我们将了解如何使用它、它的
XDP入门--eBPF程序如何打印log, printf log,打印日志
meihualing的专栏
05-22 1595
在eBPF程序中添加LOG打印,打印日志
TCP-IP详解卷:实现\031.PDF
12-11
TCP-IP详解卷:实现\031.PDF

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值