bpftrace使用

已于 2024-09-11 17:06:55 修改
阅读量473 收藏 9
点赞数 13
文章标签: linux 运维 服务器
于 2024-09-11 17:05:55 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_26122039/article/details/142142296
版权

bpftrace是一种基于eBPF(Extended Berkeley Packet Filter)的跟踪工具,用于在Linux系统中进行动态跟踪和系统性能分析。理解bpftrace的概念、原理和使用方法有助于更好地使用和应用它。

介绍

  • eBPF(Extended Berkeley Packet Filter):eBPF是一种虚拟机技术,允许在内核中运行安全的、可编程的代码片段,以便对系统执行深入的跟踪和监视。eBPF提供了一种灵活且高效的方式来扩展内核的功能,并允许用户空间应用程序与内核交互。
  • bpftrace语言:bpftrace提供了一种高级脚本语言,使用类似于awk的语法,用于编写跟踪脚本。bpftrace脚本通过eBPF提供的虚拟机执行,可以捕获和分析各种系统事件和指标。
  • 动态加载和执行:bpftrace的一个关键特性是它可以在运行时动态加载和执行脚本,而无需重新编译内核或应用程序。这使得它非常适合于实时系统性能分析和故障排查。

概念原理

1、tracepoint

tracepoints 是 Linux 内核中的一种机制,它们是在内核源代码中预定义的钩子点,用于插入用于跟踪和调试的代码。tracepoints 在内核中的特定位置被硬编码,每个 tracepoint 都有一个唯一的名称和一组相关的参数。

tracepoints 的主要优点是它们对性能的影响非常小。当没有激活 tracepoint 时,它几乎不会影响系统性能。只有当一个 tracepoint 被激活,并且有一个或多个回调函数(也称为探针)附加到它时,它才会消耗 CPU 时间。这使得 tracepoints 非常适合在生产环境中使用,因为它们可以在需要时打开,而在不需要时关闭,以最小化性能影响。

tracepoints 的另一个优点是它们提供了一种稳定的 ABI(应用程序二进制接口)。这意味着,即使在内核版本升级后,tracepoint 的名称和参数不会改变,这使得开发者可以编写依赖于特定 tracepoint 的代码,而不用担心在未来的内核版本中这些 tracepoint 会改变。

在 eBPF 中,你可以使用 tracepoint 来捕获内核中发生的事件。你可以编写一个 eBPF 程序,然后将它附加到一个 tracepoint 上。当 tracepoint 被触发时,你的 eBPF 程序会被调用,你可以在你的 eBPF 程序中访问 tracepoint 的参数,以获取有关事件的详细信息。

tracepoints 和 kprobes/kretprobes 都是 Linux 内核中用于动态跟踪的机制,但它们在使用和性能方面有一些关键的区别。

以下是 tracepoints 和 kprobes/kretprobes 的一些优缺点:

tracepoints:

优点:

  1. 稳定性tracepoints 是在内核源代码中预定义的,提供了稳定的 ABI。即使内核版本升级,tracepoint 的名称和参数也不会改变,这使得开发者可以编写依赖于特定 tracepoint 的代码,而不用担心在未来的内核版本中这些 tracepoint 会改变。

  2. 性能tracepoints 对性能的影响非常小。只有当 tracepoint 被激活,并且有一个或多个回调函数(也称为探针)附加到它时,它才会消耗 CPU 时间。这使得 tracepoints 非常适合在生产环境中使用。

缺点:

  1. 可用性tracepoints 的数量和覆盖范围有限。并非所有的内核函数都有对应的 tracepoint,这限制了你可以监控的事件。

2、kprobe

Linux kprobes调试技术是内核开发者们专门为了便于跟踪内核函数执行状态所设计的一种轻量级内核调试技术。利用kprobes技术,内核开发人员可以在内核的绝大多数指定函数中动态的插入探测点来收集所需的调试状态信息而基本不影响内核原有的执行流程。

kprobes技术目前常用的探测技术是kprobekretprobe

kprobe 允许在内核函数的入口处插入一个断点。当 CPU 执行到这个位置时,会触发一个陷入(trap),CPU 切换到你预先定义的处理函数(probe handler)执行。这个处理函数可以访问和修改内核的状态,包括 CPU 寄存器、内核栈、全局变量等。执行完处理函数后,CPU 会返回到断点处,继续执行原来的内核代码。

kretprobe 允许在内核函数返回时插入探测点。这对于追踪函数的返回值或者函数的执行时间非常有用。kretprobe 的工作原理是在函数的返回地址前插入一个断点。当函数返回时,CPU 会先跳转到你的处理函数,然后再返回到原来的地址。

当然,也不是所有的函数都是支持kprobe机制,可以通过cat /sys/kernel/debug/tracing/available_filter_functions查看当前系统支持的函数.

3、uprobe

uprobe 是一种 用户空间探针(User-Space Probe),它允许开发人员在用户空间程序的某些位置(如函数入口、出口或特定指令处)动态插入探针,从而监控或调试用户态程序的行为。与 kprobe 类似,uprobe 提供了一个强大的调试和性能分析工具,但 uprobe 作用于用户空间程序,而 kprobe 作用于内核空间。

使用

1、模糊搜索挂载点

天夏123
关注
  • 13
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
bpftrace 使用笔记
奋斗中拥有
07-16 5033
bpftrace 使用笔记 bpftrace 是基于BPF和BCC的开源系统跟踪工具. bpftrace 自带了许多性能工具,同时还提供一个高级编程语言环境,用于创建自定义的工具. 一般Linux发行版都可直接通过安装包安装使用, 我自己的环境由于升级了KERNEL导致不能正常使用, 只能通过源码重新构建使用. 环境准备: $ uname -a Linux fc29 5.12.7-300.fc29.x86_64 #1 SMP Fri May 28 13:45:39 CST 2021 x86_64 x86_6
bpftrace:简便输出调试信息
大昱的博客
08-07 782
bpftrace是一种用于Linux增强型伯克利包过滤器(eBPF)的高级跟踪语言,使用LLVM作为后端将脚本编译为BPF字节码,并利用BCC与Linux BPF系统进行交互,以及现有的Linux跟踪功能:内核动态跟踪(kprobes)、用户级动态跟踪(uprobes)、和跟踪点(tracepoint)。bpftrace语言的灵感来自awkh、C、DTrace和SystemTap等前身跟踪器。上一篇实现了tracepoint定义及函数调用,本篇也以这个示例和官方提供示例为基础讲述。...
bpftrace 指南
0 error(s)
05-03 1483
Alastair 与2016.12创建了bpftracebpftrace 是一款基于BPF和BCC的开源跟踪器。其自带了许多多性能工具和支持文档,同时提供了一个高级编程语言环境,可以用来创建强大的单行程序和小工具。
bpftrace参考指南
qq_40711766的博客
03-25 8203
提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档 文章目录前言一、名词解释二、使用示范1. help2. Hello World3. One-Liners程序4. 列出可跟踪点5. 调试输出6. 输出详情7. 环境变量8. 其它选项三、语法格式1. 程序结构{...}2. 过滤/.../3. 注释//, /**/4. 常量5. c结构体访问:->6. 结构体定义: struct7. 三元操作符 ?::8. 条件语句 if () {..} else {..}9. 循环语句unroll.
bpftrace简单使用
aolitianya的博客
11-21 287
linux工具bpftrace的简单使用
bpftrace使用案例学习
pengdonglin137的专栏
09-01 94
参考手册 bpftrace参考手册 bpftrace Cheat Sheet 小技巧 读取内核全局变量的值(参考) # bpftrace -qe 'BEGIN {printf("banner: %s\ntotalram: 0x%lx\n", str(kaddr("linux_banner")), *kaddr("_totalram_pages")); exit();}' banner: ...
适用于 centos7安装的 bpftrace工具rpm包
11-10
安装完成后,bpftrace工具将被添加到你的系统路径中,你可以通过`bpftrace`命令直接使用它。为了验证安装是否成功,运行: ```bash bpftrace --version ``` 如果显示了bpftrace的版本信息,那么恭喜你,安装顺利...
bpftraceLinux eBPF的高级跟踪语言
02-18
bpftrace使用LLVM作为后端将脚本编译为BPF字节码,并利用与Linux BPF系统进行交互以及现有Linux跟踪功能:内核动态跟踪(kprobes),用户级动态跟踪(uprobes),和跟踪点。 bpftrace语言受awk和C以及DTrace和...
bpftrace-tetris:bpftrace中的俄罗斯方块
03-22
如果您不能随时访问最新Linux内核和bpftrace,则可以尝试使用包含的Vagrant文​​件,该文件启动ubuntu eoan,因此您仍然可以玩俄罗斯方块! 从下载流浪汉,并确保已VMWare或 。 安装两个,然后运行: vagrant ...
bpftrace探针
05-08
bpftrace使用C++语法,并且提供了一些有用的BPF(Berkeley Packet Filter)函数,使得编写探针变得非常容易。 使用bpftrace可以实时查看系统的运行状况,如CPU使用率、内存使用情况、网络流量等,并可以追踪具体的...
Linux 进程控制
2302_77289177的博客
09-08 1088
Linux 进程控制
Linux> 基础IO
prodigy623的博客
09-06 960
详解Linux基础IO:文件系统调用接口与C库文件函数的关系、重定向、数据缓冲区、文件系统、动静态库
Linux 下 C/C++ 程序编译的过程
Teminator_的博客
09-08 6130
本文将介绍如何将 C/C++ 语言编写的程序转换成为处理器能够执行的二进制代码的过程,包括四个步骤:预处理()编译()汇编()链接(在此之前,首先来看一下 GCC 工具链。
Linux】地址空间
Hello World!
09-07 1220
有一天,小明睡觉的时候不小心越过了三八线,于是他按照规定,将三八线向自己移动了 10 cm,他的课桌区域变为了 40 cm长,小红的课桌区域变为了 60 cm长。此时,私生子都向大富翁申请了一笔金额:A 申请了 2 万,B 申请了 10 万,C 申请了 2k,D 申请了 900。不可以,因为此时的 g_val 是父子共用的,如果修改后父进程又拿 g_val 参与运算,就会影响到父进程的运行,破坏了。如果进程直接与内存进行交互,万一发生越界修改数据了,不仅会对此进程造成影响,还可能会导致其他进程的崩溃。
Linux 删除虚拟环境命令
lft_happiness的博客
09-05 448
linux 查看虚拟环境 删除虚拟环境
linux使用cmake和libpng来对png图像进行读写
最新发布
wumingshi159的博客
09-09 279
在进行图像处理操作之前,首要任务是确保能够正确地读取图像。编写纯 C 语言代码进行图像处理时,不太适宜使用 OpenCV2。因此,为了遵循标准且便于操作,我们采用 libpng 的代码库来实现对 PNG 图像的读写。之所以选择在 Linux 系统下进行此项操作,主要是因为许多库在 Linux 环境下的安装更为便捷,例如 libpng。而在 Windows 系统下,需要下载源码、进行编译以及配置路径等一系列操作,极为繁琐,这与我们进行算法学习的初衷背道而驰。
Linux xargs命令
菜鸟记录
09-08 1036
Linux xargs命令
Linux中的wc -l 和 ls -l 命令
qq_37397652的博客
09-05 1153
此行表示一个名为的目录,它的权限为drwxr-xr-x(所有者拥有全部权限,同组用户和其他用户仅有读和执行权限)。这个目录的所有者是lindsey,所属组是staff,目录的大小为96字节,最后修改时间是9月5日 11:45。wc -l:统计文件或输入流中的行数。ls -l:以长格式列出目录内容,显示详细的文件和目录信息。
C++ linux下的cmake
JackerCSDN的博客
09-08 350
cmake简单使用
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值