eBPF监控工具bcc系列九bcc Python

最新推荐文章于 2024-07-04 17:29:26 发布
最新推荐文章于 2024-07-04 17:29:26 发布
阅读量2.5k 收藏 1
点赞数
分类专栏: 底层性能诊断
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/notbaron/article/details/80256559
版权

接下来看下python方面的知识。

1.   初始化

1.1     BPF

语法:

BPF({text=BPF_program | src_file=filename} [, usdt_contexts=[USDT_object, ...]])

创建一个BPF对象,能通过交互来产生输出。

1.2     USDT

语法:USDT({pid=pid | path=path})

创建对象来使用USDT,可以指定进程ID,路径。

2.   事件

2.1     attach_kprobe

语法:BPF.attach_kprobe(event="event", fn_name="name")

使用函数入口的内核动态跟踪,关联C函数name和内核函数event()。

2.2     attach_kretprobe

语法:BPF.attach_kretprobe(event="event", fn_name="name")

关联C函数name和内核函数event,在内核函数返回的时候调用函数name.

2.3     attach_tracepoint

语法:BPF.attach_tracepoint(tp="tracepoint", fn_name="name")

关联C语言定义的BPF函数和内核的tracepoint。也可以使用TRACEPOINT_PROBE宏,使用该宏可以使用高级的自申明的args结构体包含了tracepoint参数。如果,使用attach_tracepoint,参数需要在BPF程序中声明。

2.4     attach_uprobe

语法:BPF.attach_uprobe(name="location", sym="symbol", fn_name="name")

将在location中的函数事件symbol,关联到C定义的函数。当symbol调用时候回调用name函数。

            例如:

b.attach_uprobe(name="c"sym="strlen"fn_name="count")

2.5     attach_uretprobe

语法:BPF.attach_uretprobe(name="location", sym="symbol", fn_name="name")

同attach_uprobe,不过是在函数返回时候调用name函数。

2.6     USDT.enable_probe

语法:USDT.enable_probe(probe=probe, fn_name=name)

将BPF的C函数附加到USDT探针上。

例如:

= USDT(pid=int(pid))

u.enable_probe(probe="http__server__request"fn_name="do_trace")

查看二进制文件是否有USDT探针,可以使用如下命令检测stap调试段:

#readelf –n binary 

3.   调试输出

3.1     trace_print

语法:BPF.trace_print(fmt="fields")

持续读取全局共享的/sys/kernel/debug/tracing/trace_pipe文件并输出。这个文件可以被BPF 和bpf_trace_printk()函数写入。

例如:

# print trace_pipe output as-is:

b.trace_print()

# print PID and message:

b.trace_print(fmt="{1} {5}")

3.2     trace_fields

语法:BPF.trace_fields(nonblocking=False)

从全局共享文件/sys/kernel/debug/tracing/trace_pipe文件中读取一行并返回域。参数表示在等待写入的时候是否blocking.

4.   输出

4.1     perf_buffer_poll

语法:BPF.perf_buffer_poll()

从perf ring buffers等待数据,有数据会调用open_perf_buffer指定的回调函数。

例如:

# loop with callback to print_event

b["events"].open_perf_buffer(print_event)

while 1:

    b.perf_buffer_poll()

5.   映射

5.1     get_table

返回表对象。此函数已经淘汰,因为BFP可以将表作为items来读取,例如BFP[name].

5.2     open_perf_buffer

语法:table.open_perf_buffers(callback, page_cnt=N, lost_cb=None)

            当perf ring buffer中数据可用的时候,调用callback函数。其中table是定义在BPF的。这个是从内核到用户层传递perf event数据的建议方式。

perf ring buffer的大小由page_cnt参数制定,建议是页的偶数倍,默认是8。如果callback处理的不够快,有些数据会丢失掉。当有丢失数据到时候会调用lost_cb。如果lost_cb定义为none,那么会打印一行信息到stderr。

5.3     items

返回表中keys的数组。可以通过BPF_HASH来获取,迭代。

5.4     values

返回表中values数组。

5.5     clear

清除表。

5.6     print_log2_hist

语法:table.print_log2_hist(val_type="value", section_header="Bucket ptr", section_print_fn=None)

            使用ASCII以log2直方图打印表。表必须用log2方式存储,这个可以通过bpf_log2()。

            val_type可选的,表示列头。

            section_header:如果直方图有第二个键,多个表会被打印,section_header会被作为头描述。

            如果section_print_fn不是none,传递bucket值。

5.7     print_linear_hist

语法:table.print_linear_hist(val_type="value", section_header="Bucket ptr", section_print_fn=None)

以ASCII方式打印表的线性直方图。

val_type参数可选的,列的头

section_header:如果直方图有第二个键,多个图会打印,section_header会被作为头描述符。

section_print_fn:如果该参数不会NONE,会被传递bucket值。

 

6.   帮助

6.1     ksym

语法:BPF.ksym(addr)

将一个内核内存地址转成一个内核函数名字。

6.2     ksymname

语法:BPF.ksymname(name)

将一个内核名字转换成一个地址,是ksym的逆向函数。

6.3     sym

语法:BPF.sym(addr, pid, show_module=False, show_offset=False)

为进程转换一个内存地址位函数名字。

参数show_module,show_offset参数控制是否显示symbol符号所在的模块,符号偏移。

6.4     num_open_kprobes

返回打开的k[ret]probes数量。在event_re场景中有用。

 

7.   关于BPF Errors

BPF中所有内存读取都要通过bpf_probe_read()函数将内存复制到BPF栈。如果直接读取内存,会出现Invalid mem access。

参考文件:

内核中Documentation/networking/filter.txt

 

badman250
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
python3-bcc-0.19.0-2.el8.aarch64.rpm
12-13
官方离线安装包,亲测可用。使用rpm -ivh [rpm完整包名] 进行安装
eBPF理解 (四)
08-27 1628
bpftrace用在快速排除和定位系统上,简单的脚本开发并执行;BCC用在复杂的eBPF开发,使用最广泛;libbpf从内核中抽离出来的标准库,不在需要每台机器安装LLVM和内核头文件。
Linux 内核 eBPFBCC安装
最新发布
m0_46380368的博客
07-04 441
版本:Ubuntu 20.04.6 LTSbcc 安装:sudo apt-get install bpfcc-tools linux-headers-$(uname -r)
bcc/ebpf使用介绍
cocoti的博客
06-08 2694
ebpf是linux trace框架的一部分内容,trace的介绍可以参考linux tracers使用介绍。trace框架允许我们在内核态/用户态的代码中加钩子,并定义了一些预置的钩子函数,实现一些基本的调试功能。而对于需要比较灵活的处理的情况,可以使用ebpf,允许用户自定义钩子函数,进行例如信息的过滤、统计、计算等处理。bcc是一个工具包,使用python来对ebpf进行封装,以便更加方便的使用ebpf,并内置了很多已经写好的工具bcc的github地址是:https://github.com/io
eBPF理解 (一)
08-20 3616
eBPF 是从 BPF (Berkeley Packet Filter) 技术扩展而来的eBPF 系统启动后就一直运行在那里,它需要事件触发后才会执行。借助kprobe和uprobe,eBPF 程序几乎可以在内核和应用的任意位置进行插桩。eBPF 的诞生成为内核的一个顶级子系统最典型的就是 iovisor 带来的 BCC、bpftrace 等工具。图片来源BPF开发过程过程使用C语言开发eBPF程序借助LLVM把eBPF程序编译成BPF字节码通过bpf系统调用,把BPF字节码提交给内核。
BCC校验计算工具
09-13
BCC校验计算工具,双击即可打开,输入参数点击计算即可得到BCC校验结果,程序测试非常方便好用
BCC check 校验工具
11-24
**标题解析:** "BCC check 校验工具" 是一个专门用于进行BCC(Block Check Character)校验的软件工具。它旨在确保在不同设备间传输的数据的完整性和准确性,尤其是在通信过程中可能出现错误的情况下。 **BCC校验...
BCC校验计算小工具
07-12
在本案例中,我们关注的是“BCC校验计算小工具”,它与松下PLC(可编程逻辑控制器)的通信协议相关。PLC是自动化系统中的核心组件,用于控制工业设备和过程。在PLC通信中,数据交换的安全性至关重要,因此采用各种...
BCC325
03-20
BCC325课程中,学生通过实践Python编程,可能会接触到如何处理和分析数据、编写函数、实现算法、调试代码以及如何使用版本控制工具等技能。此外,他们还可能学习如何将代码组织成可维护的项目结构,以及遵循良好的...
bcc.tar.gz bcc代码 bcc代码
07-18
3. **Tools**:BCC附带了一系列预先编写的工具,如`kprobe`、`uprobe`、`tracepoint`、`usdt`等,它们用于不同的系统追踪任务。 4. **Kernel Interface**:BPF与内核的接口,包括BPF虚拟机、BPF程序的加载和卸载...
bpftrace原理与使用方法
m0_68678128的博客
12-06 2378
以'$'标志起来定义与引用变量,例如:$idx = 0;
使用eBPF&BCC提取内核网络流量信息
金荣的个人技术博客
07-27 3049
前言 本文将分享从0开始编写自己的bcc程序。那么开始编写bcc之前,自己一定要明确,我们要用bcc提取什么数据。本文的实例是统计内核网络中的流量,我要提取的数据关键字段为进程的PID,进程的名字,进程的收包实时流量、发包实时流量,收包流量总和,发包流量总和,总的收发流量等。 我们知道bcceBPF的一个工具集,是eBPF提取数据的上层封装,它的形式是python中嵌套bpf程序。python部分的作用是为用户提供友好的使用eBPF的上层接口,也用于数据处理。bpf程序会注入内核,提取数据。当bpf程序运
ebpfbcc程序入门
qq_44927248的博客
10-24 1664
了解内核态**如何向用户态传递数据**(BPF_ARRAY,BPF_HASH等和相应增删改查函数,用户态中如何读取数据b[""].items()等函数),了解在挂载函数时**如何选择相应的探针**(kprobes、kretprobes、uprobes、uretprobes),了解如何**从挂载的函数中获取数据**(PT_REGS_PARM*、PT_REGS_RC、以及bpf中定义的有关函数,如bpf_get_current_pid_tgid()),就可以尝试自己编写bcc程序了。
使用BPF跟踪Linux内核
金荣的个人技术博客
03-11 1860
1. 前言 我们可以使用BPF对Linux内核进行跟踪,收集我们想要的内核数据,从而对Linux中的程序进行分析和调试。与其它的跟踪技术相比,使用BPF的主要优点是几乎可以访问Linux内核和应用程序的任何信息,同时,BPF对系统性能影响很小,执行效率很高,而且开发人员不需要因为收集数据而修改程序。 本文将介绍保证BPF程序安全的BPF验证器,然后以BPF程序的工具BCC为例,介绍常见BPF程序,具体为kprobes和tracepoints类型的BPF程序的使用及程序编写示例。 2. BPF验证器 BPF
mysql eBPF bcc_eBPF监控工具bcc系列bcc Python
weixin_35941667的博客
02-07 380
eBPF监控工具bcc系列bcc Python接下来看下python方面的知识。1. 初始化1.1 BPF语法:BPF({text=BPF_program | src_file=filename} [, usdt_contexts=[USDT_object, ...]])创建一个BPF对象,能通过交互来产生输出。1.2 USDT语法:USDT({pid=pid | path=path})创建对象...
BPF环形缓冲区
RToax
02-21 2784
目录 BPF Ringbuf和BPF perfbuf 内存开销 活动订购 浪费工作和额外的数据复制 性能和适用性 给我看看代码! BPF perfbuf:bpf_perf_event_output() BPF ringbuf:bpf_ringbuf_output() BPF ringbuf:保留/提交API BPF ringbuf:数据通知控制 结论 现在有一个新的BPF数据结构可用:BPF环形缓冲区。它解决了BPF性能缓冲区(目前已成为从内核向用户空间发送数据的事实上的标准.
bcc学习总结一
lindorx的博客
01-08 2822
基本结构 #导入库 from bcc import BPF #使用BPF()执行bpf代码 BPF(text=""" #C语言代码段 """ ) #对bpf的处理代码 C语言代码编写 不需要写main函数,目前知道可以写两种函数,以“kprobe__”开头的函数和自定义函数。bpf函数至少要包含一个参数“ctx”,即使不使用也应该存在,可以声明为“void *ctx”。 以“kprobe__”开头的函数,其余的名称部分表示要检测的函数,比如“kprobe__sys_clone”,表示要检测的函数是“
eBPF/BCC编程
weixin_44395686的博客
07-14 1620
eBPF/BCC编程 一.系统跟踪内容梳理 以下的思维导图是根据:linux tracing和profiling概论这篇文章的部分内容,加上自己这周对eBPF/bcc编程的学习总结整理出来的。大体的框架思路,还会不断完善。 二.eBPF/bcc编程 我在github上建了一个ebpfcode的仓库,记录了这周学习ebpf/bcc编程看过的比较好的资料和写过的代码,其中有些代码写了比较详细的注释,解释eBPF/bcc程序的结构,和一些接口函数的介绍。地址:ebpfcode仓库。 代码是边看边敲,敲的多了会发
eBPF python
08-29
eBPF python是一个框架,允许用户编写使用eBPF程序嵌入其中的Python程序。这个框架主要用于应用程序和系统分析/跟踪的场景,其中eBPF程序用于收集统计信息或生成事件,而用户空间中的对应部分则负责收集数据并以人类可读的形式进行显示。运行Python程序会生成eBPF字节码并将其加载到内核中。 在Python中使用eBPF的高级封装BCC来开发eBPF程序的步骤如下: 1. 首先,通过导入BCC库来使用它提供的功能。 2. 使用BPF类加载eBPF程序。 3. 使用attach_kprobe方法将BPF程序挂载到内核的探针上。 4. 使用trace_print方法读取内核调试文件的内容并打印到标准输出中。 在另一个例子中,也是使用BCC库来开发eBPF程序的步骤如下: 1. 导入BCC库。 2. 加载eBPF程序。 3. 使用attach_kprobe方法将BPF程序挂载到内核的探针上。 4. 使用trace_print方法读取内核调试文件的内容并打印到标准输出中。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *3* [eBPF学习笔记(二)—— eBPF开发工具](https://blog.csdn.net/qq_41988448/article/details/127813132)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] - *2* [eBPF学习 - 入门](https://blog.csdn.net/hzb869168467/article/details/124239015)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值