系统/内核启动期间使用ftrace

已于 2022-11-18 09:53:40 修改
阅读量1k 收藏 1
点赞数
分类专栏: tracing 文章标签: linux 经验分享
于 2022-07-05 16:55:40 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_40711766/article/details/125622182
版权
本文介绍如何利用ftrace功能追踪Linux系统启动期间的进程活动,特别是如何捕捉可能改变路由设置的行为。通过设置特定的ftrace参数,在系统启动时记录sys_execve等关键函数的调用情况。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

文章目录

背景

最近有个小伙伴求助笔者,在系统启动完成进入bash,也就是systemd的某个服务或者某个定制进程改变了路由,他想要在系统完成启动的期间捕获这个行为。

1.思路

设置路由的内核接口为ipv6_route_ioctl ,跟踪内核调用可以使用bcc或者bpftrace来完成,在systemd启动服务的期间无非就是加个早点儿启动的service呗,但是无奈的是这个系统里面没有引入bcc的源,并且客户还不允许加脚本之类的进服务器,那办法就比较局限了,使用ftrace抓取调用ipv6_route_ioctl的进程,如果是route命令之类的,再获取一下在这之前执行sys_execve的进程就可以了。

2. 查找cmdline启动项

如果默认开启ftrace捕获启动期间事件,肯定需要某个cmdline传入参数进行支持,在不知道具体实现及哪个cmdline的情况下,有两个办法:
1.找到ftrace.c($KERN_ROOT/trace/ftrace.c),查找__setup宏;
2.查找内核启动参数文档,$KERN_ROOT/Documentation/admin-guide/kernel-parameters.txt;
这两个方式适合我们对某个子系统不熟悉的时候作为查找启动项入口,通过搜索找到了我们想要的启动项:
ftrace及ftrace_filter,与在/sys/kernel/debug/tracing下面使用一致,ftrace指定要使用的tracer,此处我们使用function就行,ftrace_filter为要设置的filter_functions列表,使用逗号隔开。

3.验证

修改grub.cfg,在启动参数添加ftrace=function ftrace_filter=__x64_sys_execve进行验证,重启系统,查看trace日志:

[root@localhost ~]# cat /sys/kernel/debug/tracing/trace
# tracer: function
#
# entries-in-buffer/entries-written: 19450/19450   #P:4
#
#                                _-----=> irqs-off
#                               / _----=> need-resched
#                              | / _---=> hardirq/softirq
#                              || / _--=> preempt-depth
#                              ||| /     delay
#           TASK-PID     CPU#  ||||   TIMESTAMP  FUNCTION
#              | |         |   ||||      |         |
            awk-1693    [000] ....   214.667040: __x64_sys_execve <-do_syscall_64
           <...>-1695    [001] ....   214.667687: __x64_sys_execve <-do_syscall_64
           <...>-1696    [003] ....   214.667762: __x64_sys_execve <-do_syscall_64
            bash-1699    [003] ....   214.669529: __x64_sys_execve <-do_syscall_64
             awk-1701    [002] ....   214.669613: __x64_sys_execve <-do_syscall_64
            bash-1702    [003] ....   214.669701: __x64_sys_execve <-do_syscall_64
             cat-1704    [002] ....   214.671459: __x64_sys_execve <-do_syscall_64
             awk-1705    [001] ....   214.671561: __x64_sys_execve <-do_syscall_64
            bash-1709    [001] ....   214.673221: __x64_sys_execve <-do_syscall_64
             cat-1710    [002] ....   214.673319: __x64_sys_execve <-do_syscall_64
             awk-1711    [001] ....   214.673407: __x64_sys_execve <-do_syscall_64
              df-1714    [002] ....   214.675070: __x64_sys_execve <-do_syscall_64

总结

ftrace功能强大,虽然使用起来不怎么方便,但是许多生产环境还是比较实用的,除了本文用到的function外,启动时也支持设置function_graph,后面有空再实践试试。

Linux内核调试追踪 | ftrace使用(一)
weixin_44458100的博客
01-07 1072
Linux 内核中的一个功能强大的跟踪框架,用于分析和调试内核性能。可以做很多事情,我们最常用的功能有观察指定函数被执行, 观察指定函数调用关系,以及查看每个函数执行时耗时的时间。的使用,如果有疑问的话可以在评论区留言,对本篇文章学废的同学,可以一键三连!看起来挺多的,下面我只讲常用的节点信息,大家想了解更多可以看下README文件,里面详解了各个属性文件的含义。提供了一个灵活的接口,可以通过它来启用或禁用跟踪功能,收集和查看跟踪数据。显示当前跟踪的状态,包括跟踪的事件和相关信息。
linux内核中的hook,【Linux内核调试】使用Ftrace来Hook linux内核函数
weixin_32050773的博客
04-29 542
目标:hook几个Linux内核函数调用,如打开文件和启动进程,并利用它来启用系统活动监控并抢先阻止可疑进程。一、方案比较1. 使用Linux安全API方法:内核代码的关键点包含安全函数调用,这些调用可能触发安全模块安装的回调,该模块可以分析特定操作的上下文,并决定是允许还是禁止它。限制:安全模块无法动态加载,所以需要重新编译内核。2. 修改系统调用表方法:所有Linux系统调用处理程序都存储在s...
Linux内核学习(十):内核追踪必备技能--ftrace
叫好与叫座虽然不是对立面,但想在同一个作品中达到双重效果很难。
07-24 1791
ftrace最早出现在Linux2.6.27版本中,其设计目标简单,基于静态代码插桩技术,不需要用户通过额外的编程来定义跟踪行为。(打桩这个根据字面意思就知道是打标记点,然后将标记点连接操作,形容出轨迹)静态代码插桩技术比较可靠,不会因为用户的不当使用而导致内核崩溃。ftrace的名字由functiontrace而来,它利用gcc编译器的profile特性在所有函数入口处添加了一段插桩代码,ftrace重载这段代码来实现跟踪功能。常用的ftrace跟踪器如下。nop不跟踪任何信息。............
Linux内核ftrace使用
shiyue
12-02 1937
Linuxftrace使用
ftrace
u011011827的博客
09-17 462
function_graph跟踪器 的 config 配置 $ git show e93ae8919ebde855a16d9f02f2fb1fe59f1b33a9 commit e93ae8919ebde855a16d9f02f2fb1fe59f1b33a9 Author: lisider <1368317399@qq.com> Date: Thu Jan 10 08:26:3...
配置内核支持Ftrace
oujunli的专栏
06-22 2291
1、添加下面的config: STRICT_MEMORY_RWX=n CONFIG_FUNCTION_TRACER=y CONFIG_HAVE_FUNCTION_GRAPH_TRACER CONFIG_FUNCTION_GRAPH_TRACER=y CONFIG_STACK_TRACER=y CONFIG_DYNAMIC_FTRACE=y 去掉: CONFIG_STRICT_M
Linux 利用 ftrace 分析内核调用
热门推荐
Projectsauron 的博客
08-07 5万+
Linux 中,ftrace是一种用于跟踪内核函数调用和事件的工具。它是一个功能强大的跟踪框架,可用于分析和调试内核性能问题。ftrace提供了多种功能,包括函数跟踪、事件记录和性能分析等。它能够记录函数的调用和返回信息,以及函数执行的路径和时间。通过跟踪这些信息,我们可以了解到内核函数的执行情况,从而定位和解决性能问题。ftrace使用内核中的一些机制来实现跟踪功能。其中一个关键的机制是函数预编译器,它会在每个内核函数的入口和出口处插入一些特殊的指令,用于记录函数的调用和返回信息。
linux内核启动过程3:内核初始化阶段
大昱的博客
02-22 1488
上一篇<<linux内核启动过程2:保护模式执行流程>>分析了保护模式启动过程以及bzImage的解压入口函数,本篇继续分析内核启动过程,从保护模式到C代码初始化。 startup_64   进入arch/x86/kernel/head_64.S,分析startup_64函数: .text __HEAD .code64 SYM_CODE_START_NOALIGN(startup_64) UNWIND_HIN.
imx6ull:Linux内核启动流程分析
linux驱动开发大纲
03-03 981
/usr/local/arm/gcc-linaro-4.9.4-2017.01-x86_64_arm-linux-gnueabihf/bin/arm-linux-gnueabihf-ld -EL --defsym _kernel_bss_size=463200 -p --no-undefined -X -T arch/arm/boot/compressed/vmlinux.lds arch/arm/boot/compressed/head.o arch/arm/boot/compressed/pig...
ftrace、perf的基础使用(以及如何使用它们获取虚拟机退出原因)
jianghuliu的博客
07-12 2591
ftrace 简介 ftrace 的作用是帮助开发人员了解 Linux 内核的运行时行为,以便进行故障调试或性能分析。 最早 ftrace 是一个 function tracer,仅能够记录内核的函数调用流程。 ftrace内核态工作,用户通过 debugfs 接口来控制和使用 ftrace ,一般挂载在/sys/kernel/debug/tracing目录下。目录结构如下: 基础使用 现在的ftrace支持多种tracer 可以通过cat/sys/kernel/debug/tracing/avail
linux内核ftrace——追踪内核行为
Leo-夜空的博客
03-30 1795
描述了ftrace使用方法,trace-cmd常用方法
ftrace命令调试内核详细总结(快速掌握附实例讲解)
Luckiers的博客
05-08 5943
Ftrace是一个专门针对linux kernel内核空间的debug工具,用于帮助开发者弄清kernel正在发生的行为,对用户空间对内核低延时,内核性能等方面的问题进行调试分析。Ftrace最开始设计时主要是为了追踪函数的调用栈,但随着功能的增强,已经演变成一个跟踪框架,支持多种跟踪器,如function、function_graph、wakeup、irq等。
内核调试工具ftrace
塔通天的博客
05-16 6768
文章目录1、ftrace基本介绍2、基本用法2.1、实例演示2.2、结构展示 1、ftrace基本介绍 ftrace 的作用是帮助开发人员了解 Linux 内核的运行时行为,以便进行故障调试或性能分析。 最早 ftrace 是一个 function tracer,仅能够记录内核的函数调用流程。如今 ftrace 已经成为一个 framework,采用 plugin 的方式支持开发人员添加更多种类的 trace 功能。 2、基本用法 首先编译内核,使内核支持ftrace。 通过以上配置,使得内核支持ftr
使用 ftrace 调试 Linux 内核
adaptiver的专栏
08-31 2万+
使用 ftrace 调试 Linux 内核,第 1 部分 http://blog.csdn.net/tommy_wxie/article/details/7340701 简介: ftraceLinux 内核中提供的一种调试工具。使用 ftrace 可以对内核中发生的事情进行跟踪,这在调试 bug 或者分析内核时非常有用。本系列文章对 ftrace 进行了介绍,分为三部分。本文是第一部
内核 ftrace 工具使用简介
长江不择细流,故能浩荡万里
11-28 963
1. 内核配置(version 4.14) 修改内核配置选项 挂载debug fs, 并重启 echo >> “debugfs /sys/kernel/debug debugfs defaults 0 0” /etc/fstab 查看ftrace支持的跟踪器 cat /sys/kernel/debug/trace/available_tracers 2. 操作流程 # cat
怎样自动运行ftrace
u011279649的专栏
02-14 1071
怎样通过uboot把trace event等设置到kernel,并自动运行? 参数的设定一般是通过 early_param/ __setup这两种方法: early_param("lapic", parse_lapic); __setup("ftrace_notrace=", set_ftrace_notrace); 在内核代码中搜索 early_param/ __setup并在结果中
Ftrace: 深入探究Linux内核的追踪利器
代码背包客的博客
12-29 1671
Ftrace(Function Trace) 是 Linux 内核自 2.6.27 版本起引入的一个内核级别的追踪子系统。它提供了丰富的追踪功能,例如函数调用追踪、中断追踪、调度程序追踪等,可以帮助我们深入了解内核代码的运行细节。
Ftrace 集锦
leionway的博客
06-07 483
非常有效的Linux 调试工具。和内核编译相关(是不是可以修改内核ftrace嵌入内容,跟踪不同的内核行为)。 1,一些相关的网页: 如何使用ftrace进行内核调试:https://blog.csdn.net/trochiluses/article/details/9836329 宋宝华:关于Ftrace的一个完整案例:https://blog.csdn.net/21cnbao/artic...
ftrace wifi
最新发布
01-04
### 使用 ftrace 进行 WiFi 驱动程序的调试和性能分析 #### 启用 Ftrace 功能 为了使用 `ftrace` 对 WiFi 驱动进行调试,首先需要确认内核已经编译并启用了 `CONFIG_FUNCTION_TRACER` 和其他必要的跟踪选项。可以通过以下命令检查: ```bash zcat /proc/config.gz | grep CONFIG_FUNCTION_TRACER= ``` 如果返回值为 `=y` 则表示已启用。 #### 创建 Trace 文件系统挂载点 通常情况下 `/sys/kernel/debug/tracing/` 是默认路径,如果没有则需手动创建: ```bash mount -t debugfs nodev /sys/kernel/debug/ ``` #### 开始追踪特定事件 对于 WiFi 设备而言,可能感兴趣的事件包括但不限于网络设备操作、无线接口状态变化以及数据包传输过程中的关键节点。这些都可以通过定义自定义过滤器来实现更精确的数据收集[^1]。 #### 应用场景实例:捕获连接建立期间的行为模式 假设目标是在客户端尝试关联到某个接入点的过程中获取详细的日志信息,则可执行如下指令序列: 设置触发条件(当检测到新的 STA 加入时启动记录) ```bash echo 'wlan0:wiphy0 sta_state' > \ /sys/kernel/debug/tracing/events/mac80211/sta_state/filter ``` 激活跟踪功能并将输出重定向至文件保存起来便于后续审查 ```bash echo 1 > /sys/kernel/debug/tracing/tracing_on sleep 5 # 等待几秒钟让STA完成整个握手流程 echo 0 > /sys/kernel/debug/tracing/tracing_on cp /sys/kernel/debug/tracing/trace ./wifi_assoc_trace.txt ``` 上述方法能够有效地捕捉从扫描邻居AP直至最终形成稳定链路这一阶段内的所有重要活动轨迹。 #### 数据处理与可视化展示 原始 trace 日志往往较为冗长难以直观理解,因此建议利用专门设计用于解析此类结构化文本的应用程序如 `kernelshark` 或者编写简单的脚本来提取关注字段并绘制成图表形式辅助分析工作。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值