ebpf_bcc_tools之stacksnoop(跟踪进程指定内核函数堆栈调用信息)

已于 2024-04-29 15:01:09 修改
阅读量761 收藏 8
点赞数 4
分类专栏: ebpf 文章标签: linux 云计算 运维 安全 python 后端 开源
于 2024-04-09 16:14:21 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ljbcharles/article/details/137555909
版权

一、BPF映射

eBPF 中实现内核态代码与用户态代码是可以实时通信的,这主要靠 BPF映射 来实现。

BPF映射是内核空间的一段内存,以键值对的方式存储。内核态程序可以直接访问 BPF 映射,用户态需要通过系统调用才能访问这段地址。

BPF 映射有很多种类型,如下表所示:

类型说明
BPF_HASH哈希表
BPF_ARRAY数组
BPF_HISTOGRAM直方图
BPF_STACK_TRACE跟踪栈
BPF_PERF_ARRAY硬件性能数组
BPF_PERCPU_HASH单CPU哈希表
BPF_PERCPU_ARRAY单CPU数组
BPF_LPM_TRIE最长前缀匹配映射
BPF_PROG_ARRAY尾调用程序数组
...

...

二、BPF_STACK_TRACE跟踪栈

     跟踪栈的用法:

  • BPF_STACK_TRACE(stack_traces, 128):定义一个跟踪栈,深度为 128。

  • stack_traces.get_stackid(ctx, 0):遍历通过 ctx 找到的堆栈,返回它的唯一 ID。

  • stack_traces = b.get_table("stack_traces"):用户态获取跟踪栈。

  • for addr in stack_traces.walk(event.stack_id):根据跟踪栈的唯一 id 遍历栈内元素,函数调用地址信息。拿到地址信息后,通过 b.ksym() 函数将其翻译为内核函数名。注意,b.ksym() 函数 接收一个 show_offset 参数,用于控制是否显示偏移地址。

  • matched = b.num_open_kprobes():另外,这段程序最终接收一个参数,作为跟踪的内核函数名。因此需要判断其是否合法。num_open_kprobes() 将返回能够匹配上的内核探针数量,这里被应用于检测输入的内核函数是否合法。

三、stacksnoop源码解析

 # stacksnoop.py

from __future__ import print_function
from bcc import BPF
import argparse
import time

#初始化命令项选项与参数解析
parser = argparse.ArgumentParser(
        description="Trace and print kernel stack traces for a kernel function",
        formatter_class=argparse.RawDescriptionHelpFormatter)
#跟踪函数参数
parser.add_argument("function", help="kernel function name")
#指定pid跟踪
parser.add_argument("-p", "--pid",help="trace this PID only")
args = parser.parse_args()
function = parser.parse_args().function
offset = False

# define BPF program
bpf_text = """
#include <uapi/linux/ptrace.h>
#include <linux/sched.h>

//定义了内核Probe程序与用户空间程序通信的结构体data_t
struct data_t {
        u64 stack_id;
        u32 pid;
        char comm[TASK_COMM_LEN];
};
// 定义跟踪栈 BPF_STACK_TRACE(name, max_entries),创建名称为name的 stack trace map,并设置最大的entry条目。map用于存储stack栈的调用记录信息。
BPF_STACK_TRACE(stack_traces, 256);

//通过BBC宏定义内核中events变量
BPF_PERF_OUTPUT(events);

void trace_stack(struct pt_regs *ctx) {
        u32 pid = bpf_get_current_pid_tgid() >> 32;
        FILTER
        struct data_t data = {};
        //int map.get_stackid(void *ctx, u64 flags)     //在内核端,通过stack_traces.get_stackid(ctx,0)通过当前进程ctx上下文保存栈,获取当前进程的内核栈的栈编号,其中ctx是上下文信息,0的意义暂时未知;该工具将每个进程的stackid都传送到了用户端。
        data.stack_id = stack_traces.get_stackid(ctx, 0);
        data.pid = pid;
        //bpf_get_current_comm(char *buf, int size_of_buf) 用当前进程名字填充buf参数地址。
        bpf_get_current_comm(&data.comm, sizeof(data.comm));
        //通过perf_submit方法将event数据发送至用户空间
        events.perf_submit(ctx, &data, sizeof(data));
}
"""
#增加bpf pid过滤条件
if args.pid:
    bpf_text = bpf_text.replace('FILTER',
        'if (pid != %s) { return; }' % args.pid)
else:
    bpf_text = bpf_text.replace('FILTER', '')

# initialize BPF
b = BPF(text=bpf_text)
#在eBPF用户态程序中,可以通过attach_kprobe函数将内核态eBPF程序通过kprobes机制附加到某个内核函数中。attach_kprobe 函数会创建一个 perf event,再将 eBPF 内核态程序附加到 perf event。每个 perf event 的 kprobe probe handler 都是 kprobe_dispatch 函数,他会去 perf event 中获取注册在当前 perf event 的回调函数列表并依次执行,同时将指向 perf ringbuffer 的指针的传递给 eBPF 程序,eBPF 程序可以通过 libbpf 封装好的 PT_REGS_PARAMx 宏定义来获取缓冲区中的数据。 (tracepoint 类型的 eBPF 程序需要定义好 tracepoint 关联的函数的参数的数据结构 /sys/kernel/tracing/events)
#该kprobe会执行自定义的trace_stack()函数。可以通过多次执行attach_kprobe() ,将自定义的函数附加到多个内核函数上。
b.attach_kprobe(event=function, fn_name="trace_stack")

# linux/sched.h
TASK_COMM_LEN = 16

# 判断输入的 function 是否合法
matched = b.num_open_kprobes()
if matched == 0:
        print("Function \"%s\" not found. Exiting." % function)
        exit()

# 获取跟踪栈,返回表对象。此函数已经淘汰,现在BFP可以将表作为items来读取,例如BFP[name].
stack_traces = b.get_table("stack_traces")

start_ts = time.time()

# header
print("%-18s %-12s %-6s %-3s %s" % ("TIME(s)", "COMM", "PID", "CPU", "FUNCTION"))

#用户空间Python程序则需要定义 print_event事件处理函数,并使用 perf_buffer_poll 函数轮训消费。
def print_event(cpu, data, size):
                #读取出对应的数据并生成结构数据
        event = b["events"].event(data)
        ts = time.time() - start_ts
        print("%-18.9f %-12.12s %-6d %-3d %s" % (ts, event.comm.decode('utf-8', 'replace'), event.pid, cpu, function))
        #在用户端,通过stack_traces.walk(event.stack_id)获取了stackid对应的栈列表。
        #根据 stack.id 遍历堆栈
        for addr in stack_traces.walk(event.stack_id):
            # BPF.ksym(addr) 将一个内核内存地址转成一个内核函数名字
            sym = b.ksym(addr, show_offset=offset).decode('utf-8', 'replace')
            print("\t%s" % sym)
        print()

#从perf ring buffers等待数据,有数据会调用open_perf_buffer指定的回调函数。
b["events"].open_perf_buffer(print_event)

while 1:
        try:
                b.perf_buffer_poll()
        except KeyboardInterrupt:
                exit()

 # python  stacksnoop.py __kmalloc -p 1138

  kprobe内核函数查找:

# bpftrace -l | grep kprobe | grep malloc
kprobe:__kmalloc
kprobe:__kmalloc_node
kprobe:__kmalloc_node_track_caller
kprobe:__kmalloc_reserve.isra.54
kprobe:__kmalloc_track_caller
kprobe:__kmem_vmalloc
kprobe:__vmalloc
kprobe:__vmalloc_node
kprobe:__vmalloc_node_flags_caller
kprobe:__vmalloc_node_range
kprobe:bpf_map_kmalloc_node
kprobe:debug_kmalloc
kprobe:dev_memalloc_noio
kprobe:devm_kmalloc
kprobe:devm_kmalloc_match
kprobe:devm_kmalloc_release
kprobe:drm_dp_mst_get_port_malloc
kprobe:drm_dp_mst_put_mstb_malloc
kprobe:drm_dp_mst_put_port_malloc
kprobe:drmm_kmalloc
kprobe:gfp_pfmemalloc_allowed
kprobe:is_vmalloc_or_module_addr
kprobe:kmalloc_fix_flags
kprobe:kmalloc_large_node
kprobe:kmalloc_order
kprobe:kmalloc_order_trace
kprobe:kmalloc_slab
kprobe:kvmalloc_node
kprobe:mempool_kmalloc
kprobe:obj_malloc.isra.34
kprobe:pm_runtime_set_memalloc_noio
kprobe:remap_vmalloc_range
kprobe:remap_vmalloc_range_partial
kprobe:sk_clear_memalloc
kprobe:sk_set_memalloc
kprobe:sock_kmalloc
kprobe:sock_omalloc
kprobe:sock_wmalloc
kprobe:vmalloc
kprobe:vmalloc_32
kprobe:vmalloc_32_user
kprobe:vmalloc_exec
kprobe:vmalloc_fault
kprobe:vmalloc_node
kprobe:vmalloc_sync_mappings
kprobe:vmalloc_sync_unmappings
kprobe:vmalloc_to_page
kprobe:vmalloc_to_pfn
kprobe:vmalloc_user
kprobe:vmalloc_user_node_flags
kprobe:zbud_zpool_malloc
kprobe:zpool_malloc
kprobe:zs_malloc
kprobe:zs_zpool_malloc

ljbcharles
关注
专栏目录
Linux: kernel: eBPF & BCC
mzhan017的博客
04-22 654
reference http://www.brendangregg.com/ kernel cmdline 设置 /kernel/bpf/syscall.c /* RHEL-only: default to 1 */ int sysctl_unprivileged_bpf_disabled __read_mostly = 1; static int __init unprivileged_bpf_setup(char *str) { unsigned long disabled; if (!kstrt
Cilium + ebpf 系列文章-ebpf-tool(三)
最新发布
博然的宝藏库
09-23 98
本篇文章:主要是在介绍和演示用户空间侧ebpf调试工具-ebpf-tool一、项目地址。
eBPF监控工具bcc系列二性能问题定位
weixin_34128237的博客
05-08 567
这里将问题诊断分为两个阶段,第一阶段是定性分析,第二阶段是是用bcc进行定量分析。 1. 阶段一 在使用bcc工具前,先要进行基本的系统性能判断,如下十个步骤,可以1到2分钟之内观测完毕。 相关脚本可以参考 https://github.com/kernel-z/LinuxProfiling lÂÂ uptime lÂÂ dmesg |...
eBPF系列学习(2)-eBPF工具BCCbpftrace(文件相关操作跟踪点整理)\BCCbpftrace 对比以及libbpf
西京刀客
08-27 1519
IO Visor 项目开源BCCBPFTrace : BCC 提供了更高阶的抽象,可以让用户采用 Python、C++ 和 Lua 等高级语言快速开发 BPF 程序;BPFTrace 采用类似于 awk 语言快速编写 eBPF 程序;
eBPF监控工具bcc系列一启航
weixin_34129145的博客
05-07 1135
 在eBPF篇中,我们知道虽然可用 C 来实现 BPF,但编译出来的却仍然是 ELF 文件,开发者需要手动析出真正可以注入内核的代码。工作有些麻烦,于是就有人设计了 BPF Compiler Collection(BCC),BCC 是一个(基于 C 和 C++) python 库,实现了对 BCC 应用层接口的封装。   使用 BCC 进行 BPF ...
跟踪进程栈命令pstack
IT_Linux
04-15 1912
pstack 命令必须由相应进程的属主或 root 运行,可显示每个进程的栈跟踪,可以使用 pstack 来确定进程挂起的位置。此命令允许使用的唯一选项是要检查的进程的 PID。   示例 写了一个程序,sleep挂起,查看进程PID,用pstack查看,结果如下 [root@SPA ~]# ps aux | grep test root 2901 0.0 0.0 378
linux跟踪技术之ebpf
Innocence_0的博客
08-12 506
eBPF是一项革命性的技术,起源于 Linux内核,可以在操作系统内核等特权上下文中运行沙盒程序。它可以安全有效地扩展内核的功能,而无需更改内核源代码或加载内核模块。比如,使用ebpf可以追踪任何内核导出函数的参数,返回值,以实现kernel hook的效果;通过ebpf还可以在网络封包到达内核协议栈之前就进行处理,这可以实现流量控制,甚至隐蔽通信。
eBPF/BCC编程
weixin_44395686的博客
07-14 1676
eBPF/BCC编程 一.系统跟踪内容梳理 以下的思维导图是根据:linux tracing和profiling概论这篇文章的部分内容,加上自己这周对eBPF/bcc编程的学习总结整理出来的。大体的框架思路,还会不断完善。 二.eBPF/bcc编程 我在github上建了一个ebpfcode的仓库,记录了这周学习ebpf/bcc编程看过的比较好的资料和写过的代码,其中有些代码写了比较详细的注释,解释eBPF/bcc程序的结构,和一些接口函数的介绍。地址:ebpfcode仓库。 代码是边看边敲,敲的多了会发
Introductionto eBPF and BCC Creating powerful instrumentation
AI天才研究院
07-28 1039
eBPF(extended Berkeley Packet Filter)2012年提出的一种虚拟机,可以对Linux内核中的网络数据包进行高级过滤、修改、收集等操作,并且是安全且免费的。BCC(Berkeley Cloud Computing Compiler),是由该团队开发的一套工具链,用于编译、加载并运行eBPF程序。同时,Rust编程语言也成为容器编排领域的主要选择,很多公司在使用Rust开发容器云平台时都会用到这个工具。
TCP 连接排故:使用 BPF BCC工具包进行网络跟踪
山河已无恙
05-23 981
博文内容为 BCC 进行网络跟踪常见工具介绍tcpconnect:主动的 TCP 连接跟踪tcpaccept:被动的 TCP 连接跟踪tcpretrans:重传的 TCP 连接跟踪tcptracer:已建立的 TCP 连接跟踪tcpconnlat:测量出站 TCP 连接的延迟tcpdrop:被内核丢弃的 TCP 数据包跟踪tcplife: TCP 会话追踪tcpstates: TCP 状态更改跟踪tcpsubnet:统计发送到特定子网的 TCP 流量tcptop。
5.82 BCC工具之tcpdrop.py解读
从0到1,突破自己
03-12 1478
tcpdrop工具打印被内核丢弃的 TCP 数据包或段的详细信息,包括导致丢弃的内核堆栈跟踪。当网络出现拥堵、资源不足或其他原因导致数据包被内核丢弃时,tcpdrop可以帮助开发者和网络管理员识别并定位问题。该工具通过钩住内核中处理TCP数据包的相关函数,捕获丢弃事件并收集相关信息,如丢弃的TCP数据包的源IP、目的IP、端口号等。此外,它还可以提供内核堆栈跟踪,显示导致丢弃事件的内核函数调用链。
5.5 BCC概况
从0到1,突破自己
01-21 233
在第一章我们介绍过BCC框架,它是一个ebpf开发工具链,我们可以使用它编写python程序,并将eBPF程序嵌入其中。该框架主要用于应用程序和系统的分析/跟踪等场景,其中eBPF程序用于收集统计数据或生成事件,而用户空间中的对应程序收集数据并以易于理解的形式展示。通过运行python程序将生成eBPF字节码并将其加载到内核中去。本章的前面几节也介绍了如何在Android中使能BCC,本章接下来会一一介绍如何使用BCC
Linux 性能调优之CPU上下文切换
山河已无恙
09-08 2703
博文内容为 Linux 性能指标 CPU 上下文切换认知内容涉及:上下文认知,发生上下文切换的场景有哪些上下文指标信息查看,内核上下文切换事件跟踪,系统上下文切换统计上下文异常场景分析,CPU亲和性配置优化上下文理解不足小伙伴帮忙指正 😃,生活加油99%的焦虑都来自于虚度时间和没有好好做事,所以唯一的解决办法就是行动起来,认真做完事情,战胜焦虑,战胜那些心里空荡荡的时刻,而不是选择逃避。不要站在原地想象困难,行动永远是改变现状的最佳方式。
【微记录】linux如何使用ebpf观测你的某个命令调用内核的ioctl?(bpftrace sys_enter_ioctl)
技术札记
05-15 234
对于工程实践中需要查看某些ioctl是否被调用,尤其是一个新的模块初次调试,在不添加调试命令debug的情况下如何观测?另外就是对于外部提供的二进制程序,如何观测该程序是否调用ioctl以及何时调用?这些都通过ebpf能够良好的观测。
BCC-stackcount
成长之路
04-17 911
简述 stackcount对导致某事件发生的函数调用栈就行计数。stack可以获取: 某个事件为什么会被调用调用的代码路径? 有哪些不同的代码路径会调用该事件,他们的调用频次? stackcount在内核中使用一种特殊的、调用信息专用的BPF映射表数据结构进行统计。用户空间读取调用栈ID和统计数字,然后从BPF映射表中取出调用信息再对符号翻译和打印输出。 语法 stackcount语法与funccount相似都是由选项和eventname构成 stackcount [options] eventn
ebpfbcc程序入门
qq_44927248的博客
10-24 1738
了解内核态**如何向用户态传递数据**(BPF_ARRAY,BPF_HASH等和相应增删改查函数,用户态中如何读取数据b[""].items()等函数),了解在挂载函数时**如何选择相应的探针**(kprobes、kretprobes、uprobes、uretprobes),了解如何**从挂载的函数中获取数据**(PT_REGS_PARM*、PT_REGS_RC、以及bpf中定义的有关函数,如bpf_get_current_pid_tgid()),就可以尝试自己编写bcc程序了。
eBPF & bcc实例分析
金荣的个人技术博客
02-28 2842
上一篇博客简单介绍了 eBPF 并介绍了 bcc 框架的安装及简单应用,本篇开始实战,动手写 bcc 程序。先来一个简单的bcc 程序,作用为探测 sys_sync ,检测到 sync 时打印出“sys_sync() called”。sys_sync系统调用被用户空间函数调用,用来将内核文件系统缓冲区的所有数据写入存储介质,sys_sync系统调用将buffer、inode和super在缓存中的数...
BCCLinux eBPF 工具集教程
gitblog_00487的博客
08-08 696
BCCLinux eBPF 工具集教程 bcciovisor/bcc: 是基于 Linux eBPF 的新型网络分析工具,可用于 Linux 系统的性能监控、网络追踪和安全分析等领域。适合对项目地址:https://gitcode.com/gh_mirrors/bc/bcc 1. 项目介绍 BCC 是一个用于创建高效内核追踪和操作程序的工具包,它包括多个有用工具和示例。BCC 利用了扩展 Be...
ebpf的代码和bcc说明
远方雪的专栏
09-09 899
return 0;“”"
深度解析Linux内核新特性:io_uring、cgroup、ebpf和llvm
资源摘要信息:"本文将深入探讨Linux内核近年来引入的一系列新功能特性,重点分析_io_uring, cgroup, ebpf, 以及llvm这些关键技术点。随着技术的不断进步,Linux内核也在不断地添加新的组件和优化现有的功能,以提高...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值