eBPF(4)--tracepoint程序类型

原创 于 2025-06-10 19:11:50 发布 · 331 阅读 · 4 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#linux

寻找插桩点

# 列出所有 tracepoint 插桩点
bpftrace -l "tracepoint:*:*"

确定函数上下文

跟踪点程序的上下文是指向结构体的指针,每个跟踪事件的上下文都不相同,通过如下命令可读取到对应事件的上下文

cat /sys/kernel/tracing/events/sched/sched_process_exec/format

# 一般输出如下
name: sched_process_exec
ID: 322
# 下面每一行就是一个参数,也代表了插桩点的上下文
format:
	# 这一个区域不能在bpf中进行输出
	field:unsigned short common_type;	offset:0;	size:2;	signed:0;
	field:unsigned char common_flags;	offset:2;	size:1;	signed:0;
	field:unsigned char common_preempt_count;	offset:3;	size:1;	signed:0;
	field:int common_pid;	offset:4;	size:4;	signed:1;

	# 这个区域的参数可以在bpf程序中进行输出
	field:__data_loc char[] filename;	offset:8;	size:4;	signed:0;
	field:pid_t pid;	offset:12;	size:4;	signed:1;
	field:pid_t old_pid;	offset:16;	size:4;	signed:1;

print fmt: "filename=%s pid=%d old_pid=%d", __get_str(filename), REC->pid, REC->old_pid

定义插桩函数

自定义上下文

根据函数上下文可以重构上下文结构体,并定义插桩函数:

// 根据上下文重构结构体
struct raw_exec_ctx {
	u16 common_type;
	u8 common_flags;
	u8 common_preempt_count;
	int common_pid;

	u32 __data_loc_filename;
	pid_t pid;
	pid_t old_pid;
};

SEC("tp/sched/sched_process_exec")
int handle_exec(struct raw_exec_ctx *ctx)
{
	...
        
    bpf_printk("filename:%d pid:%d old_pid:%d\n", ctx->__data_loc_filename, ctx->pid, ctx->old_pid);

    ...
        
    return 0;
}

使用vmlinux定义好的上下文

在 vmlinux.h 中也会定义部分 tracepoint 插桩点的上下文结构体,一般定义格式为`trace_event_raw_*`,`*`表示要插桩的函数,但 vmlinux.h 中不一定定义了所有的插桩函数上下文结构体,所以推荐还是使用自定义上下文。

SEC("tp/sched/sched_process_exec")
int handle_exec(struct trace_event_raw_sched_process_exec *ctx)
{
	...

    bpf_printk("filename:%d pid:%d old_pid:%d\n", ctx->__data_loc_filename, ctx->pid, ctx->old_pid);

    ...
        
    return 0;
}

Cilium + ebpf 系列文章-ebpf-map(二)
博然的宝藏库
09-23 189
一、We Create a container be a Server.二、We Create a container be a Client.三、Them link at a Bridge.四、 Do test.一、Test-tools。##上面的实验是为了证明你在用户空间编写的ebpf程序可以在内核中运行,并且监控系统调用和内核函数。它们可用于在eBPF程序之间和与用户空间代码共享信息——例如,将配置传递到eBPF程序中,或将在内核中收集的可观察性数据发送到用户空间。上一章节讲述了什么是:ebpf.
Android 中ebpf 的集成和调试
私房菜
08-27 2441
在 2013 年,Alexei Starovoitov 对 BPF 进行彻底地改造,这个新版本被命名为eBPF(extended BPF),与此同时,将以前的 BPF 变成 cBPF (classic BPF)。新版本出现了如映射和尾调用 (tail call)这样的新特性,并且 JIT 编译器也被重写了。新的语言比 cBPF 更接近于原生机器语言。并且,在内核中创建了新的附着点。bpf(2)
AOSP平台编写Android-ebpf程序(tracepoint)的一些map定义和使用问题,导致map和prog无法产生的原因。
m0_68715848的博客
03-19 1410
我们重启手机之后发现只产生了三个map,且prog没有产生:由于map的产生是根据内核态定义的顺序来的,所以就是到第四个map出现了问题,也就是我们刚刚修改的map,这里的原因暂且不清楚,之前猜测可能是因为大小超出了限制的原因,然而实际上修改为1024也不能产生,然而time_in_state中其实用到了ARRAY来传递结构体的:现在猜测可能是因为array是连续的数组,而hash是一个散列表可能是索引错误的原因,这里后面在做尝试吧。目前测试的结果,只要是使用结构体作value值的话,
eBPF】使用bcc构建tracepoint程序
weixin_43144516的博客
07-13 953
前言 Tracepoint Programs是一类典型的eBPF程序。 《Linux Observability with BPF》一书中这样介绍Tracepoint Programs: This type of program allows you to attach BPF programs to the tracepoint handler provided by the kernel. Tracepoint programs are defined with the type BPF_PROG_T
使用 Linux tracepoint、perf 和 eBPF 跟踪数据包
hao_wujing的专栏
01-12 1231
接下来我们从一个简单的 hello world 例子展示如何在底层打点。netif_rx每当网络包经过这些点,我们的处理逻辑就会触发。为保持简单,我们的处理逻辑只是将程 序的comm字段(16 字节)发送出来(到用户空间程序),这个字段里存的是发 送相应的网络包的程序的名字。return 0;/***/可以看到,程序 attach 到 4tracepoint,并会访问skbaddr字段,将其传给处理 逻辑函数,这个函数现在只是将程序名字发送出来。
Linux内核 eBPF基础:Tracepoint原理源码分析
RToax
05-10 3564
Linux内核 eBPF基础 Tracepoint原理源码分析 荣涛 2021年5月10日 1. 基本原理 需要注意的几点: 本文将从sched_switch相关的tracepoint展开; 关于static_key,请详见本博客jump-label相关文章Linux Jump Label(x86)Linux Jump Label/static-key机制详解; 可参见内核注释版代码:https://github.com/Rtoax/linux-5.10.13 1.1. 源码头文件结构 首先看t
ebpf tracepoint 功能分析
already_skb的专栏
02-19 1790
1. 查看系统支持的所有tracepoint find /sys/kernel/debug/tracing/events -type d 可以查看到当前系统支持的所有tracepoint函数点,大家在利用tracepoint功能的时候最好先看看对应的子系统在那些地方有hook点,评估是否能满足功能。比如说你想内视TCP协议栈,那么你可以先tcp trace 支持那些功能: [root@xxx tcp]# ls /sys/kernel/debug/tracing/events/tcp enable t..
eunomia-bpf: 让 eBPF 程序的开发和部署尽可能简单
云微的blog
09-07 868
传统来说, eBPF 的开发方式主要有 BCC、libbpf 等方式。要完成一个 BPF 二进制程序的开发,需要搭建开发编译环境,要关注目标系统的内核版本情况,需要掌握从 BPF 内核态到用户态程序的编写,以及如何加载、绑定至对应的 HOOK 点等待事件触发,最后再对输出的日志及数据进行处理。我们希望有这样一种 eBPF 的编译和运行工具链,就像其他很多语言一样:大多数用户只需要关注bpf.c程序本身的编写,不需要写任何其他的什么 Python, Clang 之类的用户态辅助代码框架;
Linux内核】eBPF基础篇
qq_43840665的博客
10-21 2731
系列综述:💞目的:本系列是个人整理为了学习ebpf机制的,整理期间苛求每个知识点,平衡理解简易度与深入程度。🥰来源:材料主要源于–知乎ebpf专栏文章–进行的,每个知识点的修正和深入主要参考各平台大佬的文章,其中也可能含有少量的个人实验自证。🤭结语:如果有帮到你的地方,就和!!!!,后续继续完善和扩充👍(●’◡’●)
eBPF内核实现之TRACING
qq_17045267的博客
07-06 3431
eBPF目前被广泛应用于Linux系统中的各个领域,包括网络、安全、性能、调测等。其中,内核trace算是eBPF比较早所支持的特性。最早的用于内核trace的eBPF类型当属,即机制提供的对eBPF的支持,使得eBPF程序可以以内核函数动态插桩的方式来进行内核trace。随着时代的发展,目前可用于trace的eBPF类型和能够实现的功能也越来越丰富,包括、、等eBPF类型。那么内核提供的这些eBPF类型的实现和用途有什么区别,适用于哪些场景呢?我们来一探究竟。......
动态控制eBPF程序加载:检查 Tracepoint、Kprobe是否存在
2401_84703565的博客
06-02 1098
eBPF 程序开发中,确保程序能够在各种不同的系统配置中兼容运行是至关重要的。本文将详细介绍一个方案,通过动态检查Tracepoint、Kprobe是否存在,并结合libbpf的API接口控制 eBPF 程序的加载。这种方法不仅可以提升程序的灵活性,还能提高其在不同内核版本和系统配置中的兼容性。检查指定的 Tracepoint 是否存在;检查指定的 Kprobe 是否存在;
【博客577】使用ebpf工具nettrace追踪网络包流向
qq_43684922的博客
01-08 3455
nettrace是一款基于eBPF的集网络报文跟踪(故障定位)、网络故障诊断、网络异常监控于一体的网络工具集,旨在能够提供一种更加高效、易用的方法来解决复杂场景下的网络问题。网络报文跟踪:跟踪网络报文从进入到内核协议栈到释放/丢弃的过程中在内核中所走过的路径,实现报文整个生命周期的监控,并采集生命周期各个阶段的事件、信息。通过观察报文在内核中的路径,对于有一定内核协议栈经验的人来说可以快速、有效地发现网络问题。
bpftrace使用
L.
09-11 961
eBPF(Extended Berkeley Packet Filter):eBPF是一种虚拟机技术,允许在内核中运行安全的、可编程的代码片段,以便对系统执行深入的跟踪和监视。eBPF提供了一种灵活且高效的方式来扩展内核的功能,并允许用户空间应用程序与内核交互。bpftrace语言:bpftrace提供了一种高级脚本语言,使用类似于awk的语法,用于编写跟踪脚本。bpftrace脚本通过eBPF提供的虚拟机执行,可以捕获和分析各种系统事件和指标。
cilium原理之ebpf尾调用与trace
12-22 1350
为了选择要跳转到哪个程序,尾调用使用了程序数组map( BPF_MAP_TYPE_PROG_ARRAY),将map及其索引(index)传递给将要跳转到的程序。但如果给定的map索引中没有程序(无法跳转),执行会继续在原来的程序中执行。官方代码很清晰,需要注意的是:定义函数时,__section_tail(BPF_JMP_MAP_ID, 0)使用的是BPF_JMP_MAP_ID;特殊在于,由于函数的调用是由map来保存的,可以使用TC更新map对应的函数为新的函数,实现ebpf程序的局部更新。
深入浅出 eBPF 安全项目 Tracee
dwh0403的专栏
09-11 1625
原文地址: https://www.ebpf.top/post/tracee_intro/ 1. Tracee 介绍 1.1 Tracee 介绍 Tracee 是一个用 于 Linux 的运行时安全和取证工具。它使用 Linux eBPF 技术在运行时跟踪系统和应用程序,并分析收集的事件以检测可疑的行为模式。Tracee 以 Docker 镜像的形式交付,监控操作系统并根据预定义的行为模式集检测可疑行为。完整文档参见:https://aquasecurity.github.io/tracee/dev/。
Kindling项目目标利用eBPF技术带来的可观测性的上帝视角 ——关联内核可观测数据的trace
eBPF_Kindling的博客
04-06 1092
当前可观测性工具在云原生环境缺失了什么? 大家在使用可观测性产品当中,海量的数据一定会给排障带来障碍。稍微有点排障经验的技术人员都希望排障过程中能够追寻trace,并能沿着这个trace将各种可观测性的数据关联到这个trace上,这样最终就可以将问题根因找到。在eBPF技术出现之前,大家最常用的trace就是dapper论文中提到分布式追踪技术,但是在实际落地过程中会经常碰到以下痛点: 第一个痛点:探针自动化覆盖依赖人工: APM探针安装需要人工安装,应用重启才能生效,所以很难做到自动化覆盖所有业务。
eBPF Tracing 入门教程与实例
weixin_34270865的博客
05-28 1215
在 LPC'18(Linux Plumber's conference) 会议上,至少有24个关于 eBPF 的演讲。 eBPF 这一实用技术,将是每个开发者需要掌握的技巧。 也许你的新年目标得再多一个了:学习 eBPFeBPF 的名称源于 extended Berkeley Packet Filter,如果从 eBPF 的功能来说,类似 Virtual Kernel Instruction S...
eBPF监控工具bcc系列八BPF C
weixin_34409822的博客
05-09 2584
在之前的bcc代码中我们知道其程序是分为两部分的,一部分是C语言,另一部分是基于Python的。本篇是关于C语言部分的。 1. 事件和参数 1.1 kprobes 使用kprobe的语法是: kprobe__kernel_function_name 其中kprobe__是前缀,用于给内核函数创建一个kprobe(内核函数调用的动态跟...
ebpf程序类型
最新发布
03-08
### eBPF 程序类型及其用途 #### 1. Socket 过滤器 (Socket Filters) 这类程序用于过滤到达套接字的数据包。通过挂载到特定的 socket 上,能够决定哪些数据包应该传递给应用程序,哪些应当被丢弃。这使得开发者能够在应用层面上实现高效的流量控制机制。 ```c SEC("socket") int sock_filter(struct __sk_buff *skb) { // 对传入的数据包执行某些操作... } ``` 这种类型的 BPF 程序可以直接访问 `struct __sk_buff` 提供的信息[^3],从而允许对网络数据包的内容进行深入分析和处理。 #### 2. Kprobe 和 Uprobes Kprobes 允许在内核函数入口处插入探测点;Uprobes 则是在用户空间进程中设置断点。这两种探针都可以触发关联的 BPF 程序运行,以便收集性能统计数据或调试信息。 ```c // 定义一个kprobe事件处理器 SEC("kprobe/do_sys_open") int handle_do_sys_open(struct pt_regs *ctx){ // 执行日志记录或其他动作... } // 用户态uprobe示例 SEC("uprobe/bin/bash:/usr/bin/bash:do_execve") int uprobe_handler(struct pt_regs *ctx, const char *filename) { // 处理execve调用... } ``` 此类程序对于追踪系统行为非常有用,并且可以通过 bpftool 工具与 kallsyms 结合使用来解析辅助函数地址[^1]。 #### 3. TC Classifier and Action Programs TC(Traffic Control)分类器负责根据预定义规则区分不同类别的网络流;而动作程序则决定了如何处置这些已分类的数据包——比如重新路由、修改报文头部等。两者共同作用于Linux Traffic Control子系统之上。 ```bash # 使用tc命令加载ebpf程序作为qdisc的一部分 $ tc qdisc add dev eth0 clsact $ tc filter add dev eth0 ingress bpf da obj classifier.o sec prog ``` 上述配置将使指定网卡上的所有进入流量经过由 ebpf 编写的分类逻辑判断后再做相应处理。 #### 4. XDP (eXpress Data Path) XDP 是一种位于驱动层面的工作模式,它让 BPF 程序尽可能早地介入到数据接收路径当中,以此获得极低延迟下的高性能表现。适用于构建高速防火墙、DDoS防护等功能模块。 ```c SEC("xdp") int xdp_drop_all(struct xdp_md *ctx) { return XDP_DROP; } ``` 此代码片段展示了一个简单的 XDP 程序实例,该程序会无条件拒绝所有收到的数据帧。 #### 5. Tracepoints Tracepoint 类型的 BPF 程序可以附加到预先设定好的跟踪点上,当达到某个感兴趣的事件时就会激活对应的回调函数。这种方式提供了轻量级的日志记录能力而不必担心引入过多开销。 ```c SEC("tracepoint/block:block_rq_issue") int trace_block_request(struct trace_event_raw_block_rq *ctx) { // 记录磁盘I/O请求详情... } ``` 以上就是几种常见的 eBPF 应用场景概述。每种类型都有其独特的优势所在,可以根据实际需求灵活选用合适的方案来进行开发实践。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值