基于Linux bpf跟踪文件读写

最新推荐文章于 2024-10-23 10:26:52 发布
最新推荐文章于 2024-10-23 10:26:52 发布
阅读量4.9k 收藏 2
点赞数
分类专栏: ebpf 文章标签: linux 运维 服务器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_42931917/article/details/122157861
版权

基于Linux bpf跟踪文件读写

一、Ubuntu 20.04环境搭建

[eBPF/Ubuntu 18.04 LTS源码构建bcc.md at master · linuxkerneltravel/eBPF · GitHub](https://github.com/linuxkerneltravel/eBPF/blob/master/Install-BCC/Ubuntu 18.04 LTS源码构建bcc.md)

二、文件打开监控

这里我们监控内核通用块层的vfs_read()函数:

打印打开文件的Pid,inode号,文件名信息。

#!/usr/bin/python
from bcc import BPF

prog = """
    #include <asm/ptrace.h>
    #include <linux/fs.h>

    int trace_vfs_open(struct pt_regs *ctx, const struct path *path, struct file *file)
    {
        char *file_name = NULL;
        u32 pid = bpf_get_current_pid_tgid() >> 32;
        u32 uid = bpf_get_current_uid_gid();

        bpf_trace_printk("%d %d %s\\n", pid, path->dentry->d_inode->i_ino, path->dentry->d_iname);
        return 0;
    }
"""

b = BPF(text = prog)
b.attach_kprobe(event = "vfs_open", fn_name = "trace_vfs_open")

print("%-18s %-16s %-6s %s"%("TIME(s)", "COMM", "PID", "MESSAGE"))

#output
while 1:
    try:
        (task, pid, cpu, flags, ts, msg) = b.trace_fields()
    except ValueError:
        continue
    print("%-18.9f %-16s %-6d %s"%(ts, task, pid, msg))

抓取信息

root@curtis-Aspire-E5-471G:/home/curtis/code/bpf/eBPF-master/write_code# ./trace_open.py
TIME(s)            COMM             PID    MESSAGE
19160.428362000    trace_open.py    13025  13025 3015816 trace_open.py
19160.428453000    trace_open.py    13025  13025 1974484 __init__.py
19160.429079000    trace_open.py    13025  13025 1974484 __init__.py

三、文件读监控

这里我们监控内核通用块层的vfs_open()函数:

#!/usr/bin/python
from bcc import BPF

prog = """
    #include <asm/ptrace.h>
    #include <linux/fs.h>

    int trace_vfs_open(struct pt_regs *ctx, struct file *file, char __user *buf, size_t count, loff_t *pos)
    {
        u32 pid = bpf_get_current_pid_tgid() >> 32;
        u32 uid = bpf_get_current_uid_gid();

        bpf_trace_printk("%d %d %s\\n", pid, file->f_inode->i_ino, file->f_path.dentry->d_iname);
        return 0;
    }
"""

b = BPF(text = prog)
b.attach_kprobe(event = "vfs_read", fn_name = "trace_vfs_open")

print("%-18s %-16s %-6s %s"%("TIME(s)", "COMM", "PID", "MESSAGE"))

#output
while 1:
    try:
        (task, pid, cpu, flags, ts, msg) = b.trace_fields()
    except ValueError:
        continue
    print("%-18.9f %-16s %-6d %s"%(ts, task, pid, msg))

抓取信息

19768.367784000    polkitd          668    668 2254 1000
19768.367893000    polkitd          668    668 11799035 passwd
19768.367991000    polkitd          668    668 11796553 group
19768.368283000    polkitd          668    668 285 userdb

三、文件写监控

#!/usr/bin/python
from bcc import BPF

prog = """
    #include <asm/ptrace.h>
    #include <linux/fs.h>

    int trace_vfs_write(struct pt_regs *ctx, struct file *file, const char __user *buf, size_t count, loff_t *pos)
    {
        u32 pid = bpf_get_current_pid_tgid() >> 32;
        u32 uid = bpf_get_current_uid_gid();

        bpf_trace_printk("%d %d %s\\n", pid, file->f_inode->i_ino, file->f_path.dentry->d_iname);
        return 0;
    }
"""

b = BPF(text = prog)
b.attach_kprobe(event = "vfs_write", fn_name = "trace_vfs_write")

print("%-18s %-16s %-6s %s"%("TIME(s)", "COMM", "PID", "MESSAGE"))

#output
while 1:
    try:
        (task, pid, cpu, flags, ts, msg) = b.trace_fields()
    except ValueError:
        continue
    print("%-18.9f %-16s %-6d %s"%(ts, task, pid, msg))

抓取信息

20069.360673000    trace_write.py   13078  13078 4 1
20069.360719000    trace_write.py   13078  13078 4 1
20069.360722000    sshd             4546   4546 178514 TCP
20069.360761000    sshd             4546   4546 178514 TCP
Configure-Handler
关注
专栏目录
linux gdb 跟踪socket 文件读写和其数据间的传递
陌上花开缓缓归以的博客
08-31 954
功能:首先在客户端实现文件的写入,写入一个结构体,在服务器端需要接受(即读出结构体打印),而后在服务器端接受到结构体后(读出),而后将读出的结构体写入套接字。 调试技巧:gdb跟踪代码调试: 代码服务器端server_gdb.c #include <sys/types.h> #include <sys/socket.h> #include <stdio.h&g...
Linux内存管理(八):fixmap详解
私房菜
04-12 1263
内核启动首先会进入汇编阶段,mmu已经启动 (也就是说,当前SOC只能使用虚拟地址访问RAM),paging_init还没有完成调用,在内核启动过程需要访问某些特定的内核模块 (例如 dtb)时,就需要将虚拟地址和物理地址进行映射。这就是fixmap 机制产生的原因。fixmap 理解为固定映射,其虚拟地址空间是为了早期 fdt、console、外设动态映射、paging_init()使用。下面会通过代码的方式分别来看下这几个固定映射区域的分配和使用。
linux跟踪技术之ebpf
Innocence_0的博客
08-12 504
eBPF是一项革命性的技术,起源于 Linux内核,可以在操作系统内核等特权上下文中运行沙盒程序。它可以安全有效地扩展内核的功能,而无需更改内核源代码或加载内核模块。比如,使用ebpf可以追踪任何内核导出函数的参数,返回值,以实现kernel hook的效果;通过ebpf还可以在网络封包到达内核协议栈之前就进行处理,这可以实现流量控制,甚至隐蔽通信。
探索Linux的内在奥秘:一起学习BPF/eBPF编程
gitblog_00518的博客
08-21 809
探索Linux的内在奥秘:一起学习BPF/eBPF编程 linux-bpf-learninglearn how to use BPF/eBPF项目地址:https://gitcode.com/gh_mirrors/li/linux-bpf-learning 在开源的世界里,Linux系统的深度探索永远充满无限魅力,尤其是当谈及BPF(Berkeley Packet Filter)及其进化形态eB...
基于Linux的动态注入技术实现的文件读写追踪器
毕业作品网站
05-31 354
介绍 一款适用于 Linux 系统的动态追踪文件读写信息的共享库。原理是通过重写与 IO 相关的函数,在程序运行前优先加载本动态链接库,实现记录文件读写信息。 使用 LD_PRELOAD 注入程序 LD_PRELOAD 是 Linux 系统的一个环境变量,它可以影响程序的运行时的链接(Runtime linker),它允许你定义在程序运行前优先加载的动态链接库。这个功能主要就是用来有选择性的载入不同动态链接库中的相同函数。通过这个环境变量,我们可以在主程序和其动态链接库的中间加载别的动态链接库,甚至覆盖正常
Linux超能力BPF技术介绍及学习分享
Docker的专栏
09-15 5267
近两年BPF技术跃然成为了一项热门技术,在刚刚结束的KubeCon 2020 Europe会议上有7个关于BPF的技术分享, 而在KubeCon 2020 China会议上也已有了3个关...
Linux 内核观测技术BPF
0 error(s)
03-12 2373
BPF允许任何人在Linux内核之中执行任意的代码,这听起来的十分危险,但是由于有着使得这一过程变的相当的安全。BPF时内核的一个模块,所有的BPF程序都必须经过它的审查才能够被加载到内核之中去运行。验证器执行的就是对BPF虚拟机加载的代码进行。这一步的目的是保证程序可以按照预期去结束,而不会产生死循环拜拜浪费系统资源。验证器会创建一个DAG(有向无环图),将BPF程序的每个执行首位相连之后去执行DFS(深度优先遍历),当且仅当每个路径都能达到DAG的底部才会通过验证。之后其会执行。
非常神奇的Linux技术:BPF
msbjy的博客
04-27 3512
近两年BPF技术跃然成为了一项热门技术,在KubeCon 2020 Europe会议上有7个关于BPF的技术分享, 而在KubeCon 2020 China会议上也已有了3个关于BPF技术的中文分享,分别来自腾讯和PingCAP,涉足网络优化和系统追踪等领域。在中文社区里,包括阿里巴巴、网易、字节跳动等国内第一梯队IT公司也越来越关注BPF这项新技术。 一、前言 作为一个coder,时不时会遇到性能问题,有时候明明看资源,cpu,io都占用不高,程序的性能就是上不去,真有一种想进入到计算机里面看看到底发
了解Linux内核跟踪技术的基础概念
## 1.1 介绍Linux内核跟踪技术 Linux内核跟踪技术是一种通过获取和分析操作系统内核的运行状态和行为,来了解系统运行情况和性能瓶颈的技术手段。它可以帮助开发人员和系统管理员深入了解内核运行机制,及时发现和...
深入理解Linux内核跟踪器的事件追踪机制
# 1. 引言 ## 1.1 研究背景与意义 在当今互联网时代,Linux作为一种开源的操作系统内核,被广泛应用于服务器、嵌入式设备、云计算等领域。...因此,深入研究Linux内核跟踪器的事件追踪机制,对于提
Linux 装机必备的危机工具(Crisis Tools)
山河已无恙
08-18 888
博文内容整理自博客对作者谈到的危机工作做简单说明理解不足小伙伴帮忙指正 😃,生活加油99%的焦虑都来自于虚度时间和没有好好做事,所以唯一的解决办法就是行动起来,认真做完事情,战胜焦虑,战胜那些心里空荡荡的时刻,而不是选择逃避。不要站在原地想象困难,行动永远是改变现状的最佳方式危机工具列表。
使用libbpf-bootstrap构建第一个libbpf+BPF CO-RE程序
weixin_43144516的博客
07-16 5304
文章目录前言选择libbpf+BPF CO-RE的理由使用libbpf-bootstrap的理由Libbpf-bootstrap结构Minimal:最小应用程序分析运行minimal:代码分析:BPF side代码分析:User space sideMakefile分析动手构建属于自己的Hello World程序 前言 本文参考了相关博客:Building BPF applications with libbpf-bootstrap 选择libbpf+BPF CO-RE的理由 libbpf 是一个比BCC更
Linux中的BPF安全
weixin_59688955的博客
10-21 1276
​ LSM(linux Security Module)中文翻译就是内核安全模块,从名字上来看是安全模块,其实LSM是一个在内核各个安全模块的基础上抽象出的,轻量级安全访问控制框架。该框架只是提供一个支持安全模块的接口,本身并不具备增加系统安全性的功能,具体的工作还是交给各个安全模块来做。​通俗一点来说,LSM只是搭建了一个舞台,具体的表演还是要具体实现的模块。​ LSM在内核中主要体现为一组安全相关的函数,是提供实施强制访问控制(MAC)模块的必要组件。可实现策略与内核源代码解耦,
初识 BPF:从 Hello World 开始的内核编程之旅
m0_67544708的博客
05-22 794
BPFLinux 内核中,被实现为一个非常精简的虚拟机,具有几乎性能无损的执行效率。我们可以用类似 C 语言的语法,编写代码,编译成可以在 BPF 虚拟机中运行的汇编代码,实现其强大的逻辑处理能力。
Linux网络编程:原始套接字--包过滤器BPF
jin787730090的博客
06-17 3332
目录参考文章一、BPF介绍二、BPF的结构三、BPF Socket 实例三、BPF Code 生成方法 参考文章 linux网络和BPF linux 下的 包过滤器 BPF Linux bpf 3.1、Berkeley Packet Filter (BPF) (Kernel Document) 一、BPF介绍 BPF(Berkeley Packet Filter)伯克利包过滤器。 BPF允许用户空间程序将一个过滤(filter)附加到任何的套接字(socket)上面用来允许或不允许某些类型的数据通过
Linux内核BPF学习1
bcbobo21cn的专栏
03-06 271
随着 BPF 追踪系统(基于时间采样)最后一个主要功能被合并至 Linux 4.9-rc1 版本的内核中,现在 Linux 内核拥有类似 DTrace 的原生追踪功能。DTrace 是 Solaris 系统中的高级追踪器。对于长期使用 DTrace 的用户和专家,这将是一个振奋人心的里程碑。现在在 Linux 系统上,你可以在生产环境中使用安全的、低负载的定制追踪系统,通过执行时间的柱状图和频率统计等信息,分析应用的性能以及内核。 用于 Linux 的追踪项目有很多,但是这个最终被合并进 Linux...
Linux性能调优之使用BPF工具观测CPU性能指标
最新发布
山河已无恙
10-23 894
博文内容涉及工具来自一书,CPU性能指标涉及:系统短期创建的线程进程跟踪进程线程的CPU运行时长,脱离时长统计线程的运行队列长度,等待延时时间,有多少线程在等待,多核队列是否均衡线程运行调用栈和脱离调用栈跟踪线程 软硬中断 CPU时间,LLC 三级缓存命中率分析内核态系统调用跟踪分析理解不足小伙伴帮忙指正 😃,生活加油喜欢文字的人,大多敏感且心软,忽然不快乐忽然被回忆揪住心脏忽然沉默到泪流。
Linux内核BPF的简单工作原理
weixin_30746117的博客
04-12 669
BPF用于很多的抓包程序,在linux中,一般内核自动编译进了af_packet这个驱动,因此只需要在用户态配置一个PACKET的socket,然后将filter配置进内核即可,使用setsockopt的SO_ATTACH_FILTER 命令,这个filter是在用户空间配制的,比如tcpdump应用程序,tcpdump和内核BPF过滤器的关系类似iptables与netfilter的关系,只是N...
探索BPF:一种强大的Linux内核技术
gitblog_00074的博客
04-10 325
探索BPF:一种强大的Linux内核技术 去发现同类优质开源项目:https://gitcode.com/ 是一种由Linux内核提供的低级编程框架,最初设计用于网络包过滤。然而,随着时间的发展,BPF已经成为一个多功能、高性能的技术平台,为各种系统监控、性能分析、安全审计和内核扩展提供了无限可能。 项目简介 bpf-docs是.iovisor维护的一个项目,旨在提供详细的BPF文档和教程,帮助开...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值