eBPF 入门开发实践教程八:在 eBPF 中使用 exitsnoop 监控进程退出事件,使用 ring buffer 向用户态打印输出

最新推荐文章于 2024-04-09 11:19:34 发布
最新推荐文章于 2024-04-09 11:19:34 发布
阅读量851 收藏 3
点赞数
分类专栏: linux 文章标签: linux 服务器 网络 ebpf wasm
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_42779423/article/details/128781227
版权
本文介绍如何在eBPF中使用exitsnoop监控进程退出事件,并通过ring buffer向用户态发送数据。文章讨论了BPF ringbuf与perf buffer的区别,以及如何编译和运行exitsnoop示例。eBPF程序通过tracepoint 'tp/sched/sched_process_exit'捕获进程退出,事件信息存储在ring buffer中,由用户态程序处理。
摘要由CSDN通过智能技术生成

eBPF (Extended Berkeley Packet Filter) 是 Linux 内核上的一个强大的网络和性能分析工具。它允许开发者在内核运行时动态加载、更新和运行用户定义的代码。

本文是 eBPF 入门开发实践教程的第八篇,在 eBPF 中使用 exitsnoop 监控进程退出事件。

ring buffer

现在有一个新的 BPF 数据结构可用。BPF 环形缓冲区(ring buffer)。它解决了 BPF perf buffer(当今从内核向用户空间发送数据的事实上的标准)的内存效率和事件重排问题,同时达到或超过了它的性能。它既提供了与 perf buffer 兼容以方便迁移,又有新的保留/提交API,具有更好的可用性。另外,合成和真实世界的基准测试表明,在几乎所有的情况下,所以考虑将其作为从BPF程序向用户空间发送数据的默认选择。

BPF ringbuf vs BPF perfbuf

今天,只要BPF程序需要将收集到的数据发送到用户空间进行后处理和记录,它通常会使用BPF perf buffer(perfbuf)来实现。Perfbuf 是每个CPU循环缓冲区的集合,它允许在内核和用户空间之间有效地交换数据。它在实践中效果很好,但由于其按CPU设计,它有两个主要的缺点,在实践中被证明是不方便的:内存的低效使用和事件的重新排序。

为了解决这些问题,从Linux 5.8开始,BPF提供了一个新的BPF数据结构(BPF map)。BPF环形缓冲区(ringbuf)。它是一个多生产者、单消费者(MPSC)队列,可以同时在多个CPU上安全共享。

BPF ringbuf 支持来自 BPF perfbuf 的熟悉的功能:

  • 变长的数据记录。
  • 能够通过内存映射区域有效地从用户空间读取数据,而不需要额外的内存拷贝和/或进入内核的系统调用。
  • 既支持epoll通知,又能以绝对最小的延迟进行忙环操作。

同时,BPF ringbuf解决了BPF perfbuf的以下问题:

  • 内存开销。
  • 数据排序。
  • 浪费的工作和额外的数据复制。

exitsnoop

本文是 eBPF 入门开发实践教程的第八篇,在 eBPF 中使用 exitsnoop 监控进程退出事件,并使用 ring buffer 向用户态打印输出。

使用 ring buffer 向用户态打印输出的步骤和 perf buffer 类似,首先需要定义一个头文件:

头文件:exitsnoop.h

#ifndef __BOOTSTRAP_H
#define __BOOTSTRAP_H

#define TASK_COMM_LEN 16
#define MAX_FILENAME_LEN 127

struct event {
   
	int pid;
	int ppid;
	unsigned exit_code;
最低0.47元/天 解锁文章
云微123
关注
专栏目录
Rt-thead studio软件下使用ringbuffer
04-21
本文将深入探讨在RT-Thread Studio如何使用ringbuffer,并分享相关的编程技巧和注意事项。 1. **什么是RingBuffer** - RingBuffer,也称为环形缓冲区,是一种特殊的缓冲区设计,其特点是当缓冲区满时,新的数据...
基于 eBPF 的 Serverless 多语言应用监控能力建设
阿里巴巴云原生的博客
03-02 253
面向未来,云计算将会全面 Serverless 化,多语言,全生的支持将会是 Serverless 产品发力的重点,SAE 应用监控能力同样会持续不断的演进和增强,目前已经全面上线了无入侵,多维度,高性能的应用核心指标监控和告警能力,欢迎大家使用
eBPF 进阶: 内核新特性进展一览
dwh0403的专栏
12-24 907
程序 BTF 用户定义的 BPF 类型对象, 这使得 BPF 程序可以分配自己的对象,构建自己的对象层次结构,并使用 BPF 运行时提供的基本构建块灵活地构建自己的数据结构。int data;int ret;SEC("tc")同 linked lists,增加了针对 rbtree 的支持,详见。
Linux01——概述
GZ的博客
06-12 130
Linux概述
ebpf入门---监听所有新进程
azraelxuemo的博客
03-08 550
eBPF 全称 extended Berkeley Packet Filter,文意思是 扩展的伯克利包过滤器。一般来说,要向内核添加新功能,需要修改内核源代码或者编写 内核模块 来实现。而 eBPF 允许程序在不修改内核源代码,或添加额外的内核模块情况下运行。
如何使用c语言开发ebpf程序
qq_32783703的博客
10-28 1549
最近开始陆续负责ebpf相关的项目,于是对ebpf相关知识内容进行复习。ebpf的优势是避免了痛苦的kernel开发工作,如果没有ebpf之前,我们如果想做内核可视化,必须要开发kernel的驱动,但是如果我们有了ebpf开发的程序就可以很好的和kernel隔离开,避免了kernel的崩坏。开发ebpf程序你需要掌握哪些知识1、linux 内核相关的知识2、掌握常用的ebpf 工具3、熟悉libbpf4、有一定c语言开发功底。
ring0驱动级 隐藏进程 的源代码_在驱动层通过替换ssdt地址表的api函数来隐藏进程
01-25
隐藏进程是安全和恶意软件技术的一种常见手法,用于使特定进程在任务管理器和其他系统监控工具不可见。这种技术主要由恶意软件开发使用,以避免被安全软件检测到。本文将讨论如何在驱动层通过替换System ...
无血缘关系的进程共享ringbuffer
02-23
进程间共享环形缓冲
numpy_ringbuffer:环形缓冲区的实现,它稀薄地包装了一个numpy数组
05-05
C端使用np.array(b)展开为数组任意元素dtypes,包括诸如RingBuffer RingBuffer(N, dtype=(int, 3))类的额外尺寸例如: import numpy as npfrom numpy_ringbuffer import RingBufferr = RingBuffer ( capacity = 4 , ...
ring0驱动开发Rootkit隐藏进程.zip
01-25
ring0驱动开发Rootkit隐藏进程.zip
eBPF开发入门】案例(二)之监控系统调用
qq_40695381的博客
11-09 357
0x01编辑代码 创建一个新文件syscall_counter.py,然后输入以下Python脚本。这个脚本使用BCC创建了一个eBPF程序,该程序会挂接(hook)到sys_clone系统调用,每次调用都会增加计数器。 from bcc import BPF # 定义eBPF程序 prog = """ #include <linux/sched.h> BPF_HASH(syscall_count, u32, u64); int count_sys_clone(struct pt_re
eBPF监测未知进程的创建
李老板的移动安全杂货铺
12-02 577
以下是一个简单的eBPF模块代码示例,用于检测未知进程的创建。在此示例,我们使用eBPF的`kprobe`功能来监视`do_fork`系统调用,并检查新创建进程的PID和进程命令行。如果发现未知进程,则通过`trace_printk`函数将消息打印到内核日志。要编译和加载此模块,需要在系统上安装运行eBPF的环境。// 如果PID不存在于pid_cmd哈希表,则打印未知进程信息。请确保将`eth0`替换为您要监视的网络接口。// 存储新创建进程的PID和命令行。
eBPF-4-perf_map的丢失事件lost_event解读
文杰的博客
07-26 1731
关于ebpf使用perf map丢失事件的解读
ebpf_bcc_tools之execsnoop监控系统进程exec执行)
最新发布
ljbcharles的专栏
04-09 407
ebpf实用案例之系统进程exec执行命令监控
BPF环形缓冲区
RToax
02-21 2833
目录 BPF Ringbuf和BPF perfbuf 内存开销 活动订购 浪费工作和额外的数据复制 性能和适用性 给我看看代码! BPF perfbuf:bpf_perf_event_output() BPF ringbuf:bpf_ringbuf_output() BPF ringbuf:保留/提交API BPF ringbuf:数据通知控制 结论 现在有一个新的BPF数据结构可用:BPF环形缓冲区。它解决了BPF性能缓冲区(目前已成为从内核向用户空间发送数据的事实上的标准.
三分钟学会编写 eBPF 程序:使用 eBPF 程序监控打开文件路径并使用 Prometheus 可视化
云微的blog
09-30 983
opensnoop通过对 open 系统调用的追踪,使得用户可以较为方便地掌握目前系统调用了 open 系统调用的进程信息。源代码:https://github.com/eunomia-bpf/eunomia-bpf/tree/master/bpftools/examples/opensnooplibbpf 参考代码:https://github.com/iovisor/bcc/blob/master/libbpf-tools/opensnoop.bpf.c。
eBPF 入门开发实践教程九:捕获进程调度延迟,以直方图方式记录
云微的blog
06-03 1250
runqlat 是一个 Linux 内核 BPF 程序,通过柱状图来总结调度程序运行队列延迟,显示任务等待运行在 CPU 上的时间长度。编译这个程序可以使用 ecc 工具,运行时可以使用 ecli 命令。runqlat 是一种用于监控Linux内核进程调度延迟的工具。它可以帮助您了解进程在内核等待执行的时间,并根据这些信息优化进程调度,提高系统的性能。如果您希望学习更多关于 eBPF 的知识和实践,可以访问我们的教程代码仓库以获取更多示例和完整的教程
Linux进程管理之进程的终止
热门推荐
tanglinux
04-03 1万+
内核源码:linux-2.6.38.8.tar.bz2     目标平台:ARM体系结构       进程终止时,一般是调用exit库函数(无论是程序员显式调用还是编译器自动地把exit库函数插入到main函数的最后一条语句之后)来释放进程所拥有的资源。  $ man 3 exit void exit(int status); $ man 2 exit_group
eBPF 入门开发实践教程十一:在 eBPF 使用 libbpf 开发用户程序并跟踪 exec() 和 exit() 系统调用
云微的blog
06-03 1393
Bootstrap 是一个使用 libbpf 的完整应用,它利用 eBPF 程序来跟踪内核的 exec() 系统调用(通过 SEC(“tp/sched/sched_process_exec”) handle_exec BPF 程序),这主要对应于新进程的创建(不包括 fork() 部分)。此外,它还跟踪进程exit() 系统调用(通过 SEC(“tp/sched/sched_process_exit”) handle_exit BPF 程序),以了解每个进程何时退出
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值