BPF学习笔记(七)-- 静态跟踪点tracepoint

最新推荐文章于 2024-04-09 16:14:21 发布
最新推荐文章于 2024-04-09 16:14:21 发布
阅读量600 收藏 2
点赞数
分类专栏: Linux操作系统 BPF 文章标签: linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/frankzfz/article/details/127289021
版权

        在《linux-observability-with-bpf》中第4章节中的案例中,有一个tracepoint bpf_prog_load的实例,在我自己的云主机上,执行不通过。发现网上也有一些人遇到。针对该问题分析了一下具体的原因。 根本原因是:内核版本的问题。
下面是《linux-observability-with-bpf》中的一个示例程序:

from bcc import BPF

bpf_source = """
int trace_bpf_prog_load(struct pt_regs *ctx) {
  char comm[16];
  bpf_get_current_comm(&comm, sizeof(comm));

  bpf_trace_printk("%s is loading a BPF program", comm);
  return 0;
}
"""

bpf = BPF(text = bpf_source)
bpf.attach_tracepoint(tp = "bpf:bpf_prog_load", fn_name = "trace_bpf_prog_load")
bpf.trace_print()

上面的程序在bpf_prog_load的函数中添加一个添加一个tracepoint点。通过下面的命令可以参考本操作系统支持tracepoint的函数。
1)通过下面目录中,查看是否有相关的events

2)通过bcc的相关命令行工具

        通过是上面的两个命令查看,都没有相关bpf的tracepoint点。所有执行上面的命令会出现下面的错误信息。open(/sys/kernel/debug/tracing/events/bpf/bpf_prog_load/id): No such file or directory 

        通过对内核中相关的文件进行分析, 在kernel/bpf/syscall.c文件中,我们可以看到其中提交的一个commit,去掉对bpf_prog_load的tracepoint,使用git show 4d220ed 显示下面的信息

        通过上面的查看,是在内核4.18之后的内核删除了。commit的描述是在有可能导致内核的panic。为了测试tracepoint的使用,可以使用下面的代码进行验证。 

from bcc import BPF

bpf_source = """
int trace_net_dev_xmit(struct pt_regs *ctx) {
  char comm[16];
  bpf_get_current_comm(&comm, sizeof(comm));

  bpf_trace_printk("%s is loading a BPF program", comm);
  return 0;
}
"""

bpf = BPF(text = bpf_source)
bpf.attach_tracepoint(tp = "net:net_dev_xmit", fn_name = "trace_net_dev_xmit")
bpf.trace_print()
frankzfz
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
BPF-Performance-Tools-by-Brendan-Gregg.pdf
01-13
BPF-Performance-Tools-by-Brendan-Gregg
go-seccomp-bpf:Go库,用于安装seccomp BPF系统调用过滤器
05-09
go-seccomp-bpf go-seccomp-bpf是Go(golang)的库,用于通过使用安全计算模式(也称为seccomp)在Linux 3.17及更高版本上加载系统调用筛选器。 Seccomp限制进程可以调用的系统调用。 内核公开了大多数进程不使用的...
bpf tracepoint脚本
qq_23868387的博客
12-28 169
【代码】bpf tracepoint脚本。
【eBPF】使用bcc构建tracepoint程序
weixin_43144516的博客
07-13 769
前言 Tracepoint Programs是一类典型的eBPF程序。 《Linux Observability with BPF》一书中这样介绍Tracepoint Programs: This type of program allows you to attach BPF programs to the tracepoint handler provided by the kernel. Tracepoint programs are defined with the type BPF_PROG_T
ebpf_bcc_tools之stacksnoop(跟踪进程指定内核函数堆栈调用信息)
最新发布
ljbcharles的专栏
04-09 527
ebpf实用案例之跟踪进程指定内核函数堆栈调用信息
LWN: 对BPF tracing进行类型检测
Linux News搬运工
11-13 438
Type checking for BPF tracingByJonathan CorbetOctober 28, 2019原文来自:https://lwn.net/A...
【论文】视频监控场景中静态和运动目标的分割和跟踪
weixin_43480312的博客
10-28 924
视频监控场景中静态和运动目标的分割和跟踪摘要关键词1. INTRODUCTION2. MULTI LEVEL FOREGROUND SEGMENTATION2.1. Multi-level probabilistic model2.2. Multi-Level Foreground Segmentation Results3. MEAN-SHIFT BASED TRACKING SYSTEM WITH MULTILEVEL SEGMENTATION4. RESULTS5. CONCLUSIONS6. REF
BPF学习笔记(二)-- 基于BCCBPF示例程序
frankzfz的专栏
10-12 732
1. BPF_PERF_OUTPUT 创建BPF的table,通过Perf 的环形缓存区,把用户定义的event事件的数据推送到用户空间,这是把事件数据推送到用户空间的首选的方式。注意该打印函数会将信息输出到下面的文件中:/sys/kernel/debug/tracing/trace_pipe,通过跟踪该文件进行查看。4. 其实整个程序包含了两个部分,一个是python的客户端,一个是以字符串的形式bpf_text出现的插桩函数,使用C语言编写,整个测试程序包含了,用户空间和内核空间的代码。
Python库 | bpf4-0.9.2-cp38-cp38-win32.whl
02-15
在本文中,我们将深入探讨标题提及的“bpf4-0.9.2-cp38-cp38-win32.whl”这个Python库,以及与之相关的知识。 首先,"bpf4"是一个特定的Python库,它可能是用于处理网络数据包、性能监控或系统调试等领域的工具。...
BPF Performance Tools - Brendan Gregg.pdf
01-30
BPF Performance Tools: Linux and Application Observability:源代码参加https://github.com/brendangregg/bpf-perf-tools-book
go-conntracer-bpf:使用eBPF转到库以跟踪网络流事件
04-03
go-conntracer-bpf go-conntracer-bpf是Go语言的一个库,用于跟踪受启发的BPF kprobe上的网络连接(TCP / UDP)事件(连接,接受,发送至recvfrom)。 go-conntracer-bpf是在之上实现的, 是包含BPFLinux内核的代表...
eBPF监控工具bcc系列开发脚本
weixin_33824363的博客
05-09 1059
bcc开发脚本有两种方式,一种是基于python接口,另一种是基于ruby接口,我们看的是基于python接口的。 本篇的前置条件是系统中已经安装好了bcc。 1. Hello world 输入代码如下: #!/usr/bin/env python from bcc import BPF BPF(text='int kprobe__sys_c...
trace_net_dev_xmit 定义在何处?
weixin_30670965的博客
01-07 237
net/core/dev.c中有:rc=ops->ndo_start_xmit(skb,dev);trace_net_dev_xmit(skb,rc);在include/trace/events/net.h中有TRACE_EVENT(net_dev_xmit,。。。在include/linux/tracepoint.h中有#defineTRACE_EVENT(name,pr...
linux网络设备驱动(三)
wwwlyj123321的博客
10-24 613
ops->ndo_start_xmit(驱动层的发送函数 net_device_ops.ndo_start_xmit)
网络调优
weixin_30610755的博客
11-26 188
网络性能在云计算中扮演者越来越重要的角色,除了改进网络延迟和吞吐量,另一个常见的任务是消除可能由丢包引起的时延异常。网络分析是跨硬件和软件的,这里的硬件是指物理网络,包括网络借口卡、交换机、路由器和网关。软件是指内核协议栈,通常是TCP/IP,以及每个锁涉及的协议的行为。 【为啥网络中的这些函数都叫啥xmit呢?英语看来没过关啊:XMIT = [计]=TransMIT 发送、传送 】 接收: ...
eBPF 介绍
SHELLCODE_8BIT的博客
12-31 2364
eBPF 介绍 Tcpdump 是Linux 平台常用的网络数据包抓取及分析工具,tcpdump 主要通过libpcap 实现,而libpcap 就是基于eBPF。 先介绍BPF(Berkeley Packet Filter),BPF 是基于寄存器虚拟机实现的,支持 JIT(Just-In-Time),比基于栈实现的性能高很多。它能载入用户态代码并且在内核环境下运行,内核提供 BPF 相关的接口,用户可以将代码编译成字节码,通过 BPF 接口加载到 BPF 虚拟机中,当然用户代码跑在内核环境中是有风险的
Trace - 一文读懂tracepoint
程序猿Ricky的日常干货
04-23 7588
tracepointLinux内核静态定义的一些调试,它分布于内核的各个子系统中,然而在实际工作中可能很多人并没有用过这个功能,或者对它没有太多了解,那么就通过本文一起来了解下tracepoint吧。tracepoint是内核预先定义的静态探测,可以用于挂载钩子函数来做trace。当没有钩子函数时,它几乎没有损耗,只有挂载了钩子函数才会真正启用trace功能。这个钩子函数可以由开发者编写内核module来实现,并且需要在钩子函数中获取我们调试所需要的信息并导出到用户态,这样我们就可以获取内核运行时的信
Linux内核 eBPF基础:BCC (BPF Compiler Collection)
RToax
05-22 2302
目录 BCC包括的一些工具 安装BCC 常用工具示例 capable tcpconnect tcptop 扩展工具 简单示例 使用BPF_PERF_OUTPUT 用户自定义探针示例 参考 BPF Compiler Collection(BCC)是基于eBPFLinux内核分析、跟踪、网络监控工具。其源码存放于iovisor/bccBCC包括的一些工具 http://www.brendangregg.com/ebpf.html 安装BCC Ubuntu:...
Linux bpf 2.1、bcc的实现
pwl999的博客
10-16 3533
bcc全称为(BPF Compiler Collection),它是模仿gcc(GNU Compiler Collection)的命名风格。 BPF是运行在内核态的一种虚拟机语言,我们在用户态可以通过Clang+LLVM把c语言编译成BPF目标码,然后通过加载器loader(bcc/perf/iproute2)将BPF目标码通过bpf()系统调用加载到内核当中,最后通过perf的ioctl命令PE...
TCP-IP详解卷二:实现\031.PDF
12-11
本文是关于TCP/IP详解卷二的第31章BPF(BSD分组过滤程序)的总结。BPF是一种软件设备,用于过滤网络接口的数据流。通过打开/dev/bpf0、/dev/bpf1等BPF设备,应用进程可以读取BPF设备来选择性地接收输入的分组。每个...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值