【eBPF开发入门】案例(二)之监控系统调用

最新推荐文章于 2024-06-18 11:43:35 发布
最新推荐文章于 2024-06-18 11:43:35 发布
阅读量638 收藏
点赞数
分类专栏: ebpf开发入门 文章标签: linux python c语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_40695381/article/details/134311295
版权
文章介绍了如何使用BPF(BerkeleyPacketFilter)和BCC库在Linux下创建Python脚本,实现实时监控和计数sys_clone系统调用,以及两个示例程序syscall_counter.py和syscall_trace.py,分别用于计数和详细追踪系统调用信息。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

0x01编辑代码

  1. 创建一个新文件syscall_counter.py,然后输入以下Python脚本。这个脚本使用BCC创建了一个eBPF程序,该程序会挂接(hook)到sys_clone系统调用,每次调用都会增加计数器。
from bcc import BPF

# 定义eBPF程序
prog = """
#include <linux/sched.h>

BPF_HASH(syscall_count, u32, u64);

int count_sys_clone(struct pt_regs *ctx) {
    u32 pid = bpf_get_current_pid_tgid() >> 32;  // 获取进程ID
    u64 zero = 0, *val;
    
    // 增加syscall_count哈希表中对应PID的计数
    val = syscall_count.lookup_or_try_init(&pid, &zero);
    if (val) {
      (*val)++;
    }
    
    return 0;
}
"""

# 加载eBPF程序
b = BPF(text=prog)
b.attach_kprobe(event=b.get_syscall_fnname("clone"), fn_name="count_sys_clone")

# 输出标题
print("%-6s %-12s" % ("PID", "CLONE-COUNT"))

try:
    # 循环检索并输出系统调用的计数
    while True:
        syscall_count = b.get_table("syscall_count")
        for k, v in syscall_count.items():
            print("%-6d %-12d" % (k.value, v.value))
        b.trace_print()
        syscall_count.clear()

except KeyboardInterrupt:
    pass
  1. 保存文件后,使用具有必要权限的用户(通常是root)来运行此脚本
sudo python syscall_counter.py

0x实时跟踪系统调用

  • 实时监控系统调用。
  • 分析系统调用的使用模式,以识别性能热点或不寻常的系统行为。

syscall_trace.py

from bcc import BPF

# 定义eBPF程序
program = """
#include <uapi/linux/ptrace.h>

// 定义输出数据的结构体
struct data_t {
    u64 ts;
    u32 pid;
    char comm[TASK_COMM_LEN];
    char syscall[__SYSCALL_NAME_LEN];
    int ret;
};

BPF_PERF_OUTPUT(syscalls);

// 记录系统调用的入口
int trace_syscall_entry(struct pt_regs *ctx) {
    struct data_t data = {};
    data.ts = bpf_ktime_get_ns();
    data.pid = bpf_get_current_pid_tgid() >> 32;
    bpf_get_current_comm(&data.comm, sizeof(data.comm));

    // 获取系统调用名称
    int syscall_nr = PT_REGS_PARM1(ctx);
    bpf_probe_read_kernel_str(&data.syscall, sizeof(data.syscall), (void *)syscall_nr);

    syscalls.perf_submit(ctx, &data, sizeof(data));
    return 0;
}

// 记录系统调用的退出
int trace_syscall_exit(struct pt_regs *ctx) {
    struct data_t data = {};
    data.ts = bpf_ktime_get_ns();
    data.pid = bpf_get_current_pid_tgid() >> 32;
    data.ret = PT_REGS_RC(ctx);
    bpf_get_current_comm(&data.comm, sizeof(data.comm));

    // 获取系统调用名称
    int syscall_nr = PT_REGS_PARM1(ctx);
    bpf_probe_read_kernel_str(&data.syscall, sizeof(data.syscall), (void *)syscall_nr);

    syscalls.perf_submit(ctx, &data, sizeof(data));
    return 0;
}
"""

b = BPF(text=program)
b.attach_tracepoint(tp="raw_syscalls:sys_enter", fn_name="trace_syscall_entry")
b.attach_tracepoint(tp="raw_syscalls:sys_exit", fn_name="trace_syscall_exit")

print("Tracing syscalls... Hit Ctrl-C to end.")

# 处理事件的回调函数
def print_event(cpu, data, size):
    event = b["syscalls"].event(data)
    print(f"[{event.ts}] PID: {event.pid}, Comm: {event.comm}, Syscall: {event.syscall}, Return: {event.ret}")

b["syscalls"].open_perf_buffer(print_event)

while True:
    try:
        b.perf_buffer_poll()
    except KeyboardInterrupt:
        break
eBPF 入门开发实践指南:在 eBPF 中使用 kprobe 监测捕获 unlink 系统调用
云微的blog
01-23 1143
通过本文的示例,我们学习了如何使用 eBPF 的 kprobe 和 kretprobe 捕获 unlink 系统调用。本文是 eBPF 入门开发实践指南的第篇。下一篇文章将介绍如何在 eBPF 中使用 fentry 监测捕获 unlink 系统调用。完整的教程和源代码已经全部开源,可以在中查看。
Linux内核黑科技:eBPF实现容器逃逸监控实战
最新发布
威哥说编程
02-04 808
eBPF(扩展的伯克利数据包过滤器,Extended Berkeley Packet Filter)是一种在Linux内核中执行用户定义程序的强大机制。eBPF允许开发者在不修改内核源代码的情况下,在内核中插入用户空间的程序,以实现各种监控和安全功能。高性能:eBPF程序运行在内核空间,能够实时捕获内核级别事件,且开销非常小。灵活性:eBPF不仅支持网络数据包过滤,还能够监控文件系统、系统调用、进程行为等。安全性:eBPF程序经过严格的验证,确保不会引入内核崩溃或性能问题。
ebpf 实例
jason的笔记
07-06 3313
ebpf的全程是enhancement to berkeley packet filter。网上介绍的资料有很多,举个例子。 ebpf的code 都分成user space 和 kernel space的两部分,在/samples/bpf 路径下有很多例子 我以其中的一个为例 首先看kernel 部分 SEC("kprobe/__netif_receive_skb_core") in
基于 Coolbpf 的应用可观测实践 | 龙蜥技术
weixin_60347558的博客
10-13 597
随着 eBPF 技术的广泛应用,在操作系统层面提供了更多的观测能力,站在操作系统层面对应用的行为数据进行 trace 追踪成了一种应用监控的新手段,本文主要介绍基于 eBPF 实现对应用网络数据监控的背后逻辑。
eBPF开发入门案例(一)之监控网络流量
qq_40695381的博客
11-09 1007
确保你的系统上安装了必要的eBPF工具,包括bcc库。此外,需要对网络配置有基本了解,并具有适当的权限来捕获网络数据包。
eBPF内核探测中将任意系统调用转换成事件
金荣的个人技术博客
06-07 1036
上回,我们说到bpf_trace_printk 带的参数太多了,会出现error: <unknown>:0:0: in function kprobe__inet_listen i32 (%struct.pt_regs*): too many args to 0x55a83e8f8320: i64 = Constant<6>这样的错误,这是 BPF 的限制。解决这个问题的办法就是使用 perf,它支持传递任意大小的结构体到用户空间。 要使用 perf,我们需要: 定义一个结构体 声
操作系统基石与性能优化:装函数与系统调用的深入探讨
本文全面探讨了操作系统中装函数与系统调用的理论基础、实践应用、性能优化以及安全保护机制,并展望了未来的发展趋势。装函数与系统调用作为操作系统的核心组成部分,对于文件管理、进程控制和内存管理等关键功能的...
gRPC在大型分布式系统中的应用案例分析
分布式系统的构建离不开远程过程调用(RPC)技术,它允许跨网络的不同服务之间进行方法调用。然而,这种架构的复杂性也带来了诸多挑战,如服务间的通信开销、数据一致性、容错性、系统监控和维护等。 ## 1.2 gRPC的...
【驱动调试技巧】:Linux性能追踪与监控的艺术
![【驱动调试技巧】:Linux性能追踪与监控的艺术]...重点介绍了基础与高级监控工具的使用技巧,如top、htop、perf、eBPF、BCC等,以及它们在分析CPU、内存和I/O性能指标中的应用。同时,本文深入分析
SystemView 容器监控实战:应对Kubernetes与Docker环境挑战
![SystemView 容器监控实战:应对Kubernetes与Docker环境挑战]... 容器技术概述与监控需求 #
vltrace:使用eBPF linux内核功能以快速方式跟踪系统调用的工具
05-19
vltrace:使用eBPF的syscall跟踪程序 这是vltrace的顶级README.md。 vltrace是一个系统调用跟踪工具,它利用eBPFLinux内核的有效跟踪功能)。 执照 请参阅文件以获取有关此工具如何获得的信息。 依赖 vltrace取决于库。 libbcc的安装指南可以在找到。 系统要求 内核v4.7或更高版本 安装的内核头文件: RHEL,Fedora和CentOS上的“内核开发”软件包或 Debian和Ubuntu上的'linux-headers'软件包 libbcc v0.4.0 CAP_SYS_ADMIN功能(bpf()系统调用所需) 挂载的debugfs和tracefs 联系方式 有关此工具的更多信息,请联系: Lukasz Dorau(intel.com上的lukasz.dorau) 或创建问题。
【MIPI I3C软件驱动入门】:新手快速上手教程
![【MIPI I3C软件驱动入门】:新手快速上手教程]...本文全面介绍了MIPI I3C标准,涵盖其核心概念、软件驱动开发以及高级特性。首先概述了I3C标准及其协议核心概念,包括设备通信基础、协议层细节、
利用eBPF探测Rootkit漏洞
Peter的专栏
07-11 609
作者简介:许庆伟,Linux Kernel Security Researcher & Performance Develope如今,云原生平台越来越多的使用了基于eBPF的安全探测技术。这项技术通过创建安全的Hook钩子探针来监测内部函数和获取重要数据,从而支持对应用程序的运行时做监测和分析。Tracee是用于Linux的运行时安全和取证的开源项目,它基于eBP...
ebpf_bcc_tools之execsnoop(监控系统进程exec执行)
ljbcharles的专栏
04-09 612
ebpf实用案例之系统进程exec执行命令监控
一文看懂eBPFeBPF的使用(超详细)
youzhangjing_的博客
04-14 3777
eBPF(extended Berkeley Packet Filter) 可谓 Linux 社区的新宠,很多大公司都开始投身于 eBPF 技术,如 Goole、Facebook、Twitter 等。 eBPF 究竟有什么魅力让大家都关注它呢? 这是因为 eBPF 增加了内核的可扩展性,让内核变得更加灵活和强大。 如果大家玩过 乐高积木 的话就会深有体会,乐高积木就是通过不断向主体添加积木来组合出更庞大的模型。 而 eBPF 就像乐高积木一样,可以不断向内核添加 ..
ebpf入门---监听所有新进程
azraelxuemo的博客
03-08 853
eBPF 全称 extended Berkeley Packet Filter,中文意思是 扩展的伯克利包过滤器。一般来说,要向内核添加新功能,需要修改内核源代码或者编写 内核模块 来实现。而 eBPF 允许程序在不修改内核源代码,或添加额外的内核模块情况下运行。
openEuler 2203 中利用ebpf实现文件变更实时监控
zhangdaolong
06-18 586
sed,vim等命令修改文件,每次更新,文件的inode会变化,这个和具体命令的实现有关,有的时候可能还是需要用文件的名称来做唯一标记。在ebpf安全保护机制下,不可控循环可能不让操作,所以这边固定了循环次数,也就是固定目录的深度,这个地方举例是4级。上边循环中,可以用数组来保存目录的名称,但是具体实现过程,编译没有过,暂时用这个临时方法代替。操作文件的时候,传入参数文件路径可以是相对路径或者是绝对路径,如果是相对路径可能需要在获取文件的完成路径。1),根据fd获取文件的名称。3.监控中参数获取遇到问题。
三分钟学会编写 eBPF 程序:使用 eBPF 程序监控打开文件路径并使用 Prometheus 可视化
云微的blog
09-30 1135
opensnoop通过对 open 系统调用的追踪,使得用户可以较为方便地掌握目前系统中调用了 open 系统调用的进程信息。源代码:https://github.com/eunomia-bpf/eunomia-bpf/tree/master/bpftools/examples/opensnooplibbpf 参考代码:https://github.com/iovisor/bcc/blob/master/libbpf-tools/opensnoop.bpf.c。
使用 eBPF 实时持续跟踪进程文件记录
云原生实验室
06-02 2065
本文主要用于演示基于 ebpf 技术来实现对于系统调用跟踪和特定条件过滤,实现基于 BCC[1] 的 Python 前端绑定,过程中对于代码的实现进行了详细的解释,可以作为学习 ebpf ...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值