系统/内核启动期间使用ftrace

已于 2022-11-18 09:53:40 修改
阅读量595 收藏
点赞数
分类专栏: tracing 文章标签: linux 经验分享
于 2022-07-05 16:55:40 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_40711766/article/details/125622182
版权

文章目录

背景

最近有个小伙伴求助笔者,在系统启动完成进入bash,也就是systemd的某个服务或者某个定制进程改变了路由,他想要在系统完成启动的期间捕获这个行为。

1.思路

设置路由的内核接口为ipv6_route_ioctl ,跟踪内核调用可以使用bcc或者bpftrace来完成,在systemd启动服务的期间无非就是加个早点儿启动的service呗,但是无奈的是这个系统里面没有引入bcc的源,并且客户还不允许加脚本之类的进服务器,那办法就比较局限了,使用ftrace抓取调用ipv6_route_ioctl的进程,如果是route命令之类的,再获取一下在这之前执行sys_execve的进程就可以了。

2. 查找cmdline启动项

如果默认开启ftrace捕获启动期间事件,肯定需要某个cmdline传入参数进行支持,在不知道具体实现及哪个cmdline的情况下,有两个办法:
1.找到ftrace.c($KERN_ROOT/trace/ftrace.c),查找__setup宏;
2.查找内核启动参数文档,$KERN_ROOT/Documentation/admin-guide/kernel-parameters.txt;
这两个方式适合我们对某个子系统不熟悉的时候作为查找启动项入口,通过搜索找到了我们想要的启动项:
ftrace及ftrace_filter,与在/sys/kernel/debug/tracing下面使用一致,ftrace指定要使用的tracer,此处我们使用function就行,ftrace_filter为要设置的filter_functions列表,使用逗号隔开。

3.验证

修改grub.cfg,在启动参数添加ftrace=function ftrace_filter=__x64_sys_execve进行验证,重启系统,查看trace日志:

[root@localhost ~]# cat /sys/kernel/debug/tracing/trace
# tracer: function
#
# entries-in-buffer/entries-written: 19450/19450   #P:4
#
#                                _-----=> irqs-off
#                               / _----=> need-resched
#                              | / _---=> hardirq/softirq
#                              || / _--=> preempt-depth
#                              ||| /     delay
#           TASK-PID     CPU#  ||||   TIMESTAMP  FUNCTION
#              | |         |   ||||      |         |
            awk-1693    [000] ....   214.667040: __x64_sys_execve <-do_syscall_64
           <...>-1695    [001] ....   214.667687: __x64_sys_execve <-do_syscall_64
           <...>-1696    [003] ....   214.667762: __x64_sys_execve <-do_syscall_64
            bash-1699    [003] ....   214.669529: __x64_sys_execve <-do_syscall_64
             awk-1701    [002] ....   214.669613: __x64_sys_execve <-do_syscall_64
            bash-1702    [003] ....   214.669701: __x64_sys_execve <-do_syscall_64
             cat-1704    [002] ....   214.671459: __x64_sys_execve <-do_syscall_64
             awk-1705    [001] ....   214.671561: __x64_sys_execve <-do_syscall_64
            bash-1709    [001] ....   214.673221: __x64_sys_execve <-do_syscall_64
             cat-1710    [002] ....   214.673319: __x64_sys_execve <-do_syscall_64
             awk-1711    [001] ....   214.673407: __x64_sys_execve <-do_syscall_64
              df-1714    [002] ....   214.675070: __x64_sys_execve <-do_syscall_64

总结

ftrace功能强大,虽然使用起来不怎么方便,但是许多生产环境还是比较实用的,除了本文用到的function外,启动时也支持设置function_graph,后面有空再实践试试。

品小虾
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
ftrace-hook:在Linux内核使用ftrace进行函数挂钩
05-04
Linux内核模块演示了如何使用ftrace框架进行函数挂钩:就像在挂钩函数周围执行任意代码一样。 该代码已根据许可。 如何建造 请考虑使用虚拟机(VirtulBox,VMWare,QEMU等)进行实验。 (不变的)模块是完全无害的...
系统调用内核实现讲解
08-02
系统调用是操作系统提供给应用程序的一种接口,使得用户程序能够安全、有效地利用系统资源,执行只有内核才能完成的任务。在Linux系统中,系统调用是操作系统与用户程序交互的关键途径,它涉及到进程管理、内存管理...
ftrace命令调试内核详细总结(快速掌握附实例讲解)
Luckiers的博客
05-08 4232
文章目录一、简介二、ftrace的相关配置2.1 ftrace主要配置流程2.2 具体配置详解三、ftracing目录内容详解3.1 通用配置解析3.2 支持的跟踪器解析3.3 其他配置文件四、实例操作五、其他相关博客链接 一、简介 Ftrace是一个专门针对linux kernel内核空间的debug工具,用于帮助开发者弄清kernel正在发生的行为,对用户空间对内核低延时,内核性能等方面的问题进行调试分析。 Ftrace最开始设计时主要是为了追踪函数的调用栈,但随着功能的增强,已经演变成一个跟踪框架,支
【QAULCOMM】启动过程抓取FTRACE方法
weixin_33979363的博客
04-09 481
Add boot parameter in device\qcom\msm_xxx\BoardConfig.mk. xxx is the build variant name Build and flash boot.img:make kernel#put device into fastboot mode and update boot.imgfastboot flash boot boot.i...
Linux内核学习(十):内核追踪必备技能--ftrace
叫好与叫座虽然不是对立面,但想在同一个作品中达到双重效果很难。
07-24 1606
ftrace最早出现在Linux2.6.27版本中,其设计目标简单,基于静态代码插桩技术,不需要用户通过额外的编程来定义跟踪行为。(打桩这个根据字面意思就知道是打标记点,然后将标记点连接操作,形容出轨迹)静态代码插桩技术比较可靠,不会因为用户的不当使用而导致内核崩溃。ftrace的名字由functiontrace而来,它利用gcc编译器的profile特性在所有函数入口处添加了一段插桩代码,ftrace重载这段代码来实现跟踪功能。常用的ftrace跟踪器如下。nop不跟踪任何信息。............
配置内核支持Ftrace
oujunli的专栏
06-22 2215
1、添加下面的config: STRICT_MEMORY_RWX=n CONFIG_FUNCTION_TRACER=y CONFIG_HAVE_FUNCTION_GRAPH_TRACER CONFIG_FUNCTION_GRAPH_TRACER=y CONFIG_STACK_TRACER=y CONFIG_DYNAMIC_FTRACE=y 去掉: CONFIG_STRICT_M
ftrace
u011011827的博客
09-17 407
function_graph跟踪器 的 config 配置 $ git show e93ae8919ebde855a16d9f02f2fb1fe59f1b33a9 commit e93ae8919ebde855a16d9f02f2fb1fe59f1b33a9 Author: lisider <1368317399@qq.com> Date: Thu Jan 10 08:26:3...
内核 ftrace 工具使用简介
长江不择细流,故能浩荡万里
11-28 867
1. 内核配置(version 4.14) 修改内核配置选项 挂载debug fs, 并重启 echo >> “debugfs /sys/kernel/debug debugfs defaults 0 0” /etc/fstab 查看ftrace支持的跟踪器 cat /sys/kernel/debug/trace/available_tracers 2. 操作流程 # cat
怎样自动运行ftrace
u011279649的专栏
02-14 1020
怎样通过uboot把trace event等设置到kernel,并自动运行? 参数的设定一般是通过 early_param/ __setup这两种方法: early_param("lapic", parse_lapic); __setup("ftrace_notrace=", set_ftrace_notrace); 在内核代码中搜索 early_param/ __setup并在结果中
ftrace使用简介
11-24
【ftrace 使用简介】 ftraceLinux 内核中一个强大的动态跟踪工具,它允许开发者在内核级别追踪特定函数的调用、执行时间和调用关系。这对于内核调试、性能分析以及理解复杂的内核行为非常有帮助。下面将详细...
ftrace手册
09-24
对于Linux内核开发者和系统管理员来说,掌握ftrace使用能够极大地提升工作效率,深入理解内核运行机制。通过阅读`tracing on linux.doc`文档,可以进一步了解在实际环境中如何应用ftrace进行系统分析。而`...
catapult,图形化ftrace log
最新发布
11-14
catapult,图形化ftrace log cat /sys/kernel/tracing/trace > /data/local/tmp/trace_output trace_output 以文本形式提供跟踪记录,可使用 Catapult 将其可视化 catapult/tracing/bin/trace2html ~/path/to/trace...
ftrace-分析.doc
03-09
- **初始状态**:系统启动后,默认情况下,`ftrace_caller`会被替换为NOP(无操作)指令,这意味着追踪功能是关闭的。这是通过`ftrace_init`函数在系统初始化时调用`ftrace_dyn_arch_init`和`ftrace_modify_code`来...
cpp-ftrace简单函数调用示踪器
08-16
Linux系统中,`cpp-ftrace`是一种利用内核的`ftrace`功能来追踪C++程序中函数调用的技术。`ftrace`是Linux内核提供的一种强大的动态跟踪工具,它允许开发者对内核或者用户空间程序进行事件追踪,以帮助分析性能...
如何使用ftrace
RichardYSteven的专栏
10-29 3742
http://www.ibm.com/developerworks/cn/linux/l-cn-ftrace/ http://blog.csdn.net/ganggexiongqi/article/details/6710201 1. 编译内核 ref:http://www.omappedia.org/wiki/Installing_and_Using_Ftrace =======
kernel ftrace使用示例
weixin_40419181的博客
03-16 426
使能 kernel ftrace 需要打开下面编译宏 CONFIG_FTRACE=y CONFIG_HAVE_FUNCTION_TRACER=y CONFIG_HAVE_FUNCTION_GRAPH_TRACER=y CONFIG_HAVE_DYNAMIC_FTRACE=y CONFIG_FUNCTION_TRACER=y CONFIG_FUNCTION_GRAPH_TRACER=y CONFIG_IRQSOFF_TRACER=y CONFIG_SCHED_TRACER=y CONFIG_ENABLE_DE
linux ftrace(二) - 代码分析
weixin_41028621的博客
04-09 811
1.ftrace核心初始化   trace.c是ftrace的核心,包括三个initcall:tracer_alloc_buffers、trace_init_debugfs、clear_boot_tracer。
linux性能工具--ftrace使用
生活需要深度
03-13 304
如果要看vfs_read()一个具体的调用过程,除了使用上一节的trace-cmd report命令,还可以使用kernelshark图形化的形式来查看,可以在板子上使用trace-cmd record 记录事件,把得到的trace.data放到linux 桌面系统,用kernelshark打开,看到图形化的信息。function,函数调用追踪器, 跟踪函数调用,默认跟踪所有函数,如果设置set_ftrace_filter, 则跟踪过滤的函数,可以看出哪个函数何时调用。
data_sources: { config { name: "linux.ftrace" ftrace_config { ftrace_events: "sched/sched_switch" ftrace_events: "power/suspend_resume" ftrace_events: "sched/sched_process_exit" ftrace_events: "sched/sched_process_free" ftrace_events: "task/task_newtask" ftrace_events: "task/task_rename" ftrace_events: "ftrace/print" atrace_categories: "gfx" atrace_categories: "input" atrace_categories: "view" atrace_categories: "wm" atrace_categories: "am" atrace_categories: "audio" atrace_categories: "video" atrace_categories: "res" atrace_categories: "dalvik" atrace_categories: "rs" atrace_categories: "bionic" atrace_categories: "power" atrace_categories: "pm" atrace_categories: "ss" atrace_categories: "network" atrace_categories: "aidl" atrace_categories: "rro" atrace_categories: "binder_driver" atrace_categories: "binder_lock" atrace_apps: "com.android.systemui" atrace_apps: "com.android.server" atrace_apps: "*" } } } duration_ms: 30000
06-12
这是一个Perfetto的配置文件示例,用于指定系统跟踪的数据源和缓冲区设置。具体解释如下: - data_sources: {}:定义了一个数据源。 - config {}: 定义了数据源的配置信息。 - name: "linux.ftrace":指定数据源的名称为linux.ftrace。 - ftrace_config {}:指定数据源为Ftrace数据源,并指定其配置信息。 - ftrace_events: "...":指定要跟踪的Ftrace事件名称。 - atrace_categories: "...":指定要跟踪的ATrace事件类别。 - atrace_apps: "...":指定要跟踪的ATrace事件应用程序。 - duration_ms: 30000:指定跟踪的时间长度为30秒。 该配置文件的作用是定义了一个数据源,并指定了数据源的名称、Ftrace事件名称、ATrace事件类别和应用程序,以及跟踪的时间长度。执行该配置文件可以启动Perfetto进行系统跟踪,并收集指定的Ftrace和ATrace事件数据。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值