Linux ftrace 2.4、uprobe event的使用

最新推荐文章于 2024-07-23 14:52:48 发布
最新推荐文章于 2024-07-23 14:52:48 发布
阅读量4.4k 收藏 1
点赞数
分类专栏: Trace 文章标签: uprobe

uprobe是用户态的探针,它和kprobe是相对应的,kprobe是内核态的探针。uprobe需要制定用户态探针在执行文件中的位置,插入探针的原理和kprobe类似。

参考原文:Uprobe-tracer: Uprobe-based Event Tracing

1、Overview

uprobe event类似于kprobe event。在编译内核时配置CONFIG_UPROBE_EVENTS=y使能这个特性。

它的active不是通过current_tracer接口,而是通过“/sys/kernel/debug/tracing/uprobe_events”来增加probe points,通过“/sys/kernel/debug/tracing/events/uprobes//enabled”来使能。

然而和kprobe event不同,uprobe event期望用户计算probepoint在目标中的偏移。

2、Synopsis of uprobe_tracer

增加/删除event的命令格式:

p[:[GRP/]EVENT] PATH:OFFSET [FETCHARGS] : Set a uprobe
r[:[GRP/]EVENT] PATH:OFFSET [FETCHARGS] : Set a return uprobe (uretprobe)
-:[GRP/]EVENT                           : Clear uprobe or uretprobe event

GRP           : Group name. If omitted, "uprobes" is the default value.
EVENT         : Event name. If omitted, the event name is generated based
                on PATH+OFFSET.
PATH          : Path to an executable or a library.
OFFSET        : Offset where the probe is inserted.

FETCHARGS     : Arguments. Each probe can have up to 128 args.
 %REG         : Fetch register REG
 @ADDR        : Fetch memory at ADDR (ADDR should be in userspace)
 @+OFFSET     : Fetch memory at OFFSET (OFFSET from same file as PATH)
 $stackN      : Fetch Nth entry of stack (N >= 0)
 $stack       : Fetch stack address.
 $retval      : Fetch return value.(*)
 $comm        : Fetch current task comm.
 +|-offs(FETCHARG) : Fetch memory at FETCHARG +|- offs address.(**)
 NAME=FETCHARG     : Set NAME as the argument name of FETCHARG.
 FETCHARG:TYPE     : Set TYPE as the type of FETCHARG. Currently, basic types
                     (u8/u16/u32/u64/s8/s16/s32/s64), hexadecimal types
                     (x8/x16/x32/x64), "string" and bitfield are supported.

(*) only for return probe.
(**) this is useful for fetching a field of data structures.

2.1、Types

在”fetch-args”中支持一系列的types,Kprobe tracer能够使用给定的type来存取内存。

  • ‘s’ 、‘u’前缀:分别表明signed、unsigned;
  • ‘x’前缀:意味着unsigned;
  • 数字:十进制(‘s’ and ‘u’) ,16进制(‘x’)。没有类型固定,数字使用‘x32’还是‘x64’取决于架构(x86-32 uses x32, and x86-64 uses x64);
  • 字符串:将会在内存中读取一个“null-terminated”的字符串。

  • Bitfield:有3个参数bit-width, bit- offset, container-size (usually 32).

    b<bit-width>@<bit-offset>/<container-size>

对“$comm”,默认是“string”类型,其他类型非法。

3、Event Profiling

你可以通过/sys/kernel/debug/tracing/uprobe_profile查看所有kprobe event的命中和miss情况。第一列是event name,第二列是probe hits计数,第三列是probe miss-hits计数。

4、Usage examples

  • 增加一个新的uprobe event,命令如下(在可执行文件/bin/bash的0x4245c0偏移处增加一个uprobe探针):

    echo 'p /bin/bash:0x4245c0' > /sys/kernel/debug/tracing/uprobe_events

  • 增加一个uretprobe event:

    echo 'r /bin/bash:0x4245c0' > /sys/kernel/debug/tracing/uprobe_events

  • 删除一个已注册的event:

    echo '-:p_bash_0x4245c0' >> /sys/kernel/debug/tracing/uprobe_events

  • 打印出所有已注册的events:

    cat /sys/kernel/debug/tracing/uprobe_events

  • 清除掉所有的events:

    echo > /sys/kernel/debug/tracing/uprobe_events

以下的例子展示怎么找到probe位置的地址,dump其instruction pointer 和 %ax register,探测/bin/zsh中的zfree函数:

# cd /sys/kernel/debug/tracing/
# cat /proc/`pgrep zsh`/maps | grep /bin/zsh | grep r-xp
00400000-0048a000 r-xp 00000000 08:03 130904 /bin/zsh
# objdump -T /bin/zsh | grep -w zfree
0000000000446420 g    DF .text  0000000000000012  Base        zfree

0x46420是zfree在/bin/zsh中的偏移,/bin/zsh的内存加载地址为0x00400000。因此命令为:

# echo 'p:zfree_entry /bin/zsh:0x46420 %ip %ax' > uprobe_events

同样的uretprobe为:

# echo 'r:zfree_exit /bin/zsh:0x46420 %ip %ax' >> uprobe_events

注意:用户必须明确的计算对象中的探测点的偏移量

我们可以看到已经注册的events:

# cat uprobe_events
p:uprobes/zfree_entry /bin/zsh:0x00046420 arg1=%ip arg2=%ax
r:uprobes/zfree_exit /bin/zsh:0x00046420 arg1=%ip arg2=%ax

可以从 events/uprobes/zfree_entry/format中查看event的输出格式:

# cat events/uprobes/zfree_entry/format
name: zfree_entry
ID: 922
format:
     field:unsigned short common_type;         offset:0;  size:2; signed:0;
     field:unsigned char common_flags;         offset:2;  size:1; signed:0;
     field:unsigned char common_preempt_count; offset:3;  size:1; signed:0;
     field:int common_pid;                     offset:4;  size:4; signed:1;
     field:int common_padding;                 offset:8;  size:4; signed:1;

     field:unsigned long __probe_ip;           offset:12; size:4; signed:0;
     field:u32 arg1;                           offset:16; size:4; signed:0;
     field:u32 arg2;                           offset:20; size:4; signed:0;

print fmt: "(%lx) arg1=%lx arg2=%lx", REC->__probe_ip, REC->arg1, REC->arg2

定义以后,使能所有的events:

# echo 1 > events/uprobes/enable

sleep以后,disable events:

# sleep 20
# echo 0 > events/uprobes/enable

还可以通过/sys/kernel/debug/tracing/trace文件查看trace信息:

# cat trace
# tracer: nop
#
#           TASK-PID    CPU#    TIMESTAMP  FUNCTION
#              | |       |          |         |
             zsh-24842 [006] 258544.995456: zfree_entry: (0x446420) arg1=446420 arg2=79
             zsh-24842 [007] 258545.000270: zfree_exit:  (0x446540 <- 0x446420) arg1=446540 arg2=0
             zsh-24842 [002] 258545.043929: zfree_entry: (0x446420) arg1=446420 arg2=79
             zsh-24842 [004] 258547.046129: zfree_exit:  (0x446540 <- 0x446420) arg1=446540 arg2=0

输出显示给我们uprobe被触发时:pid 24842、ip 0x446420、ax register 79,uretprobe被触发时:ip at 0x446540从函数入口0x446420返回。

参考资料

1、Uprobe-tracer: Uprobe-based Event Tracing

pwl999
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
手把手教你使用 ftraceLinux 系统进行 debug
qq_38769551的博客
08-06 420
strace:用来跟踪 Linux 进程执行时的系统调用和接收所接收的信号,可以跟踪到一个进程产生的系统调用,包括参数,返回值,执行消耗的时间。ftrace:是一个 Linux 内核函数跟踪器,function tracer,旨在帮助开发人员和系统设计者可以找到内核内部发生的事情,从 Linux-2.6 内核就支持了。atrace:Android tracer,使用 ftrace 来跟踪 Android 上层的函数调用。
eBPF 入门开发实践指南五:在 eBPF 中使用 uprobe 捕获 bash 的 readline 函数调用
云微的blog
01-23 1732
uprobe是一种用户空间探针,uprobe探针允许在用户空间程序中动态插桩,插桩位置包括:函数入口、特定偏移处,以及函数返回处。当我们定义uprobe时,内核会在附加的指令上创建快速断点指令(x86机器上为int3指令),当程序执行到该指令时,内核将触发事件,程序陷入到内核态,并以回调函数的方式调用探针函数,执行完探针函数再返回到用户态继续执行后序的指令。
uprobe
yunlianglinfeng的专栏
10-15 762
项目上需要分析用户态程序的性能,开发人员一般的方式是在程序内部实现打点函数,记录当程序运行到该点的时间戳,通过比较两点之间的时间间隔来估计两点之间的时间消耗。这样一方面增加了开发的工作量,另外这些打点也会给业务带来额外性能消耗,是否有另外的方式来解决该问题呢? 前段时间在研究ftrace,发现其还有个uprobe特性,故名思意就是用户态的探针工具,今天尝试了下uprobe的使用,小结如下: 1.编写小测试程序如下: #include <stdlib.h> #include <s.
CUDA (一):CUDA C 编程及 GPU 基本知识
最新发布
cnzzs的博客
07-23 727
目录1 CPU 和 GPU 的基础知识2 CUDA 编程的重要概念3 并行计算向量相加4 实践 4.1 向量相加 CUDA 代码 4.2 实践向量相加5 给大家的一点参考资料1 CPU 和 GPU 的基础知识提到处理器结构,有2个指标是经常要考虑的:延迟和吞吐量。所谓延迟,是指从发出指令到最终返回结果中间经历的时间间隔。而...
基于Linux内核的应用探测: uprobe
yeholmes的专栏
03-13 4150
基于Linux内核的应用性能分析技术 Linux内核有良好的分层设计,但了解并实时跟踪内核的行为并不容易。为此,Linux内核开发者实现了跟踪点(tracepoint)、性能监测(perf_event)、函数跟踪(ftrace)等功能,用于Linux的调试和性能分析。最近几年已经成熟的eBPF内核子系统带来了内核性能分析技术的飞跃,常用的主要有bcc、bpftrace;二者同属于github的iovisor用户,直译出来即为“输入输出监测”,即性能监测。这些工具同样可用于应用层的性能分析,这是笔者关注的功能
linux 第十三天 linuxprobe
weixin_43400942的博客
03-13 169
linux 第十三天 linuxprobe 课程概况 今天学习了Apache服务、SElinux安全子系统。 课堂体会 SElinux安全子系统规定非常严格。有同学说用好会比杀毒软件给力,中病毒都不会发作。 课堂笔记 ...
Linux ftrace 2.3、kprobe event使用
pwl999的博客
05-24 6417
原始的trace event插桩是静态的:使用TRACE_EVENT()定义tracepoint,并且在代码中显式调用tracepoint。而kprobe机制可以实现在内核运行时动态的插桩,利用kprobe机制我们可以动态的插入trace event,实现和静态trace event同样的功能。 参考原文:Kprobe-based Event Tracing 1、Overview 这些e...
ftrace-hook:在Linux内核中使用ftrace进行函数挂钩
05-04
Linux内核模块演示了如何使用ftrace框架进行函数挂钩:就像在挂钩函数周围执行任意代码一样。 该代码已根据许可。 如何建造 请考虑使用虚拟机(VirtulBox,VMWare,QEMU等)进行实验。 (不变的)模块是完全无害的...
Linux 追踪技术 ftrace使用(二)_ftrace跟踪线程(1)
m0_74918915的博客
04-26 758
tracepoint是内核静态检测,跟踪点在技术上只是放置在内核源代码中的跟踪函数;它们从定义和格式化它们的参数的跟踪事件接口中使用。跟踪事件在 tracefs 中可见,并与 Ftrace 共享输出和控制文件无需创建自定义内核模块即可使用tracepoint来使用 event tracing infrastructure 注册探测功能。并非所有tracepoint都可以使用 event tracing system 进行跟踪;
perf-tools:基于Linux perf_events(aka perf)和ftrace的性能分析工具
02-18
Linux ftrace和perf_events(又称“ perf”命令)的各种开发中和不受支持的性能分析工具。 ftrace和perf都是内核源代码中包含Linux核心跟踪工具。 您的系统可能已经有ftrace,并且perf通常只是一个软件包添加(请...
Linux Ftrace
12-12
Linux Ftrace 是一个强大的内核调试和性能分析工具,它允许开发者深入了解Linux内核的运行时行为,从而进行故障排查和性能优化。Ftrace 主要用于跟踪内核函数调用、进程调度、调度延迟以及分支预测等关键操作,提供...
LinuxProbe学习笔记(九)
weixin_41365424的博客
01-22 218
随着不断的深入学习感觉自己懂得越来越少,真希望自己有过目不忘的本领可是学习的乐趣就是在忘了学,学了忘到达最后的境界吧,我们在不断的学习中寻得快乐,痛苦并快乐着 swp交换分区挂载 fdisk /dev/sdb 管理硬盘工具 mkswap /dev/sdb1 swapon /dev/sdb1 vim /etc/fstab 设置开机自动挂载 磁盘配额 vim /etc/fstab 设置defaults,uquota 设置开机自启动磁盘配额 xfs_quota -x -c 'limit bsoft=
Linux tracing之基于uprobe/kprobe的调试调优浅析
tugouxp的专栏
06-23 1428
uprobe与krobe对应,动态附加到用户态调用函数的切入点称为uprobe,相比如kprobe 内核函数的稳定性,uprobe 的函数由开发者定义。uprobe是用户态的探针,它和kprobe是相对应的,kprobe是内核态的探针。uprobe需要制定用户态探针在执行文件中的位置,插入探针的原理和kprobe类似。下面是对uprobe使用方法的简单介绍。Makefile分别编译地址加载无关和地址相关两个版本的应用程序,分别抓取其PROBE结果。之后使用如下命令查看注册的EVENT事件。
uprobes技术介绍+示例代码,ebpf下的uprobe介绍+代码解释(用户层+内核层代码),修改内核层写法,将两个函数与bpf程序分离,去掉用户函数所在程序的符号表(strip,如何解决)
m0_74206992的博客
03-30 1511
uprobes技术介绍+示例代码,ebpf下的uprobe介绍+代码解释(用户层+内核层代码),修改内核层写法,将两个函数与bpf程序分离,去掉用户函数所在程序的符号表(strip,如何解决)
Linux jprobe初探
u012967763的专栏
01-04 211
1、kprobe的示例代码在内核源码/samples/kprobes下,可以根据示例代码改写自己想要用的代码 2、内核示例代码 #include <linux/kernel.h> #include <linux/module.h> #include <linux/kprobes.h> /* * Jumper probe for do_fork. * ...
uprobe的使用浅析
LiWang112358的专栏
10-15 1953
uprobe是linux内核提供的一种trace用户态函数的机制,可以在不对二进制重新编译的情况下进行trace特定函数,本文描述了uprobe的基本使用方法
Linux内核 eBPF:Hacking Linux USDT with Ftrace
RToax
04-16 678
Linux内核 eBPF Hacking Linux USDT with Ftrace Hacking Linux USDT with Ftrace usdt (ftrace) · GitHub lttng-ust 1. Hacking Linux USDT with Ftrace I previously thought it was impossible to use user-level statically defined tracing (USDT) probes on Linux, wit
uprobes介绍
M120674的专栏
12-14 992
一 功能 uprobes提供了用户态程序的动态插桩, 注意与kprobes的 区别 二 接口 (1)基于Ftrace,通过/sys/kernel/debug/tracing/uprobe_events写入特定字符串打开关闭uprobes,具体方法参考如下文档: uprobetracer.rst - Documentation/trace/uprobetracer.rst - Linux source code (v4.17.18) - Bootlin 注意和kprobe不同的是...
Uprobes: userspace probes >= Linux 3.5
weixin_33755554的博客
05-09 114
https://lwn.net/Articles/499190/ https://github.com/andreoli/fulltrace  Prominent features in Linux 3.5 1.1. ext4 metadata checksums Modern filesystems such as ZFS and Btrfs have proved that ensuring ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值