基于Linux bpf跟踪文件读写

最新推荐文章于 2024-06-12 10:23:54 发布
最新推荐文章于 2024-06-12 10:23:54 发布
阅读量4.7k 收藏 2
点赞数
分类专栏: ebpf 文章标签: linux 运维 服务器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_42931917/article/details/122157861
版权

基于Linux bpf跟踪文件读写

一、Ubuntu 20.04环境搭建

[eBPF/Ubuntu 18.04 LTS源码构建bcc.md at master · linuxkerneltravel/eBPF · GitHub](https://github.com/linuxkerneltravel/eBPF/blob/master/Install-BCC/Ubuntu 18.04 LTS源码构建bcc.md)

二、文件打开监控

这里我们监控内核通用块层的vfs_read()函数:

打印打开文件的Pid,inode号,文件名信息。

#!/usr/bin/python
from bcc import BPF

prog = """
    #include <asm/ptrace.h>
    #include <linux/fs.h>

    int trace_vfs_open(struct pt_regs *ctx, const struct path *path, struct file *file)
    {
        char *file_name = NULL;
        u32 pid = bpf_get_current_pid_tgid() >> 32;
        u32 uid = bpf_get_current_uid_gid();

        bpf_trace_printk("%d %d %s\\n", pid, path->dentry->d_inode->i_ino, path->dentry->d_iname);
        return 0;
    }
"""

b = BPF(text = prog)
b.attach_kprobe(event = "vfs_open", fn_name = "trace_vfs_open")

print("%-18s %-16s %-6s %s"%("TIME(s)", "COMM", "PID", "MESSAGE"))

#output
while 1:
    try:
        (task, pid, cpu, flags, ts, msg) = b.trace_fields()
    except ValueError:
        continue
    print("%-18.9f %-16s %-6d %s"%(ts, task, pid, msg))

抓取信息

root@curtis-Aspire-E5-471G:/home/curtis/code/bpf/eBPF-master/write_code# ./trace_open.py
TIME(s)            COMM             PID    MESSAGE
19160.428362000    trace_open.py    13025  13025 3015816 trace_open.py
19160.428453000    trace_open.py    13025  13025 1974484 __init__.py
19160.429079000    trace_open.py    13025  13025 1974484 __init__.py

三、文件读监控

这里我们监控内核通用块层的vfs_open()函数:

#!/usr/bin/python
from bcc import BPF

prog = """
    #include <asm/ptrace.h>
    #include <linux/fs.h>

    int trace_vfs_open(struct pt_regs *ctx, struct file *file, char __user *buf, size_t count, loff_t *pos)
    {
        u32 pid = bpf_get_current_pid_tgid() >> 32;
        u32 uid = bpf_get_current_uid_gid();

        bpf_trace_printk("%d %d %s\\n", pid, file->f_inode->i_ino, file->f_path.dentry->d_iname);
        return 0;
    }
"""

b = BPF(text = prog)
b.attach_kprobe(event = "vfs_read", fn_name = "trace_vfs_open")

print("%-18s %-16s %-6s %s"%("TIME(s)", "COMM", "PID", "MESSAGE"))

#output
while 1:
    try:
        (task, pid, cpu, flags, ts, msg) = b.trace_fields()
    except ValueError:
        continue
    print("%-18.9f %-16s %-6d %s"%(ts, task, pid, msg))

抓取信息

19768.367784000    polkitd          668    668 2254 1000
19768.367893000    polkitd          668    668 11799035 passwd
19768.367991000    polkitd          668    668 11796553 group
19768.368283000    polkitd          668    668 285 userdb

三、文件写监控

#!/usr/bin/python
from bcc import BPF

prog = """
    #include <asm/ptrace.h>
    #include <linux/fs.h>

    int trace_vfs_write(struct pt_regs *ctx, struct file *file, const char __user *buf, size_t count, loff_t *pos)
    {
        u32 pid = bpf_get_current_pid_tgid() >> 32;
        u32 uid = bpf_get_current_uid_gid();

        bpf_trace_printk("%d %d %s\\n", pid, file->f_inode->i_ino, file->f_path.dentry->d_iname);
        return 0;
    }
"""

b = BPF(text = prog)
b.attach_kprobe(event = "vfs_write", fn_name = "trace_vfs_write")

print("%-18s %-16s %-6s %s"%("TIME(s)", "COMM", "PID", "MESSAGE"))

#output
while 1:
    try:
        (task, pid, cpu, flags, ts, msg) = b.trace_fields()
    except ValueError:
        continue
    print("%-18.9f %-16s %-6d %s"%(ts, task, pid, msg))

抓取信息

20069.360673000    trace_write.py   13078  13078 4 1
20069.360719000    trace_write.py   13078  13078 4 1
20069.360722000    sshd             4546   4546 178514 TCP
20069.360761000    sshd             4546   4546 178514 TCP
Configure-Handler
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
bpftrace:Linux eBPF的高级跟踪语言
02-18
bpftrace bpftrace是用于Linux增强的Berkeley数据包筛选器(eBPF)的高级跟踪语言,该语言在最新Linux内核(4.x)中可用。 bpftrace使用LLVM作为后端将脚本编译为BPF字节码,并利用与Linux BPF系统进行交互以及现有Linux跟踪功能:内核动态跟踪(kprobes),用户级动态跟踪(uprobes),和跟踪点。 bpftrace语言受awk和C以及DTrace和SystemTap等以前的跟踪程序的启发。 bpftrace由创建。 要了解有关bpftrace的更多信息,请参见《和《单线 。 一线 以下一线展示了不同的功能: # Files opened by process bpftrace -e 'tracepoint:syscalls:sys_enter_open { printf("%s %s\n", comm, str(args
Linux Observability with BPF Advanced Programming
05-29
Linux Observability with BPF》这本书的主题非常引人入胜,围绕BPF(Berkeley Packet Filter)技术在Linux可观测性方面的应用展开。为了激发彼此的想象力和创造力,我们可以进行一场关于此主题的头脑风暴。以下是一些可能的方向和讨论点: BPF技术的未来发展方向: - 如何进一步优化BPF的性能,使其在处理大规模数据集时更加高效? - BPF在未来可能支持哪些新的编程语言或框架,从而扩大其应用范围? - 随着容器化和云原生技术的普及,BPF将如何适应这些趋势并发挥更大的作用?   2. Linux可观测性的创新应用场景: - 除了传统的网络监控和系统性能分析,BPF还可以应用于哪些新的可观测性场景? - 如何利用BPF技术来实时跟踪和调试复杂的分布式系统? - BPF能否与机器学习或数据分析技术相结合,为运维人员提供更智能的监控和预警功能?
BPF Performance Tools
02-28
第1章 引 言1 1.1 BPFeBPF是什么 1 1.2 跟踪、嗅探、采样、剖析和可观测性分别是什么 2 1.3 BCC、bpftrace和IO Visor 3 1.4 初识BCC:快速上手 4 1.5 BPF跟踪的能见度 7 1.6 动态插桩:kprobes和uprobes 8 1.7 静态插桩:tracepoint和USDT 9 1.8 初识bpftrace:跟踪open() 10 1.9 再回到BCC:跟踪open() 13 1.10 小结 15 第2章 技术背景16 2.1 图释BPF 16 2.2 BPF 17 2.3 扩展版BPF 18 2.4 调用栈回溯 41 2.5 火焰图 44 2.6 事件源 48 2.7 kprobes 49 2.8 uprobes 53 2.9 跟踪点 57 2.10 USDT 62 2.11 动态USDT 66 2.12 性能监控计数器 68 2.13 perf_events 69 2.14 小结 70 第3章 性能分析71 3.1 概览 71 3.2 性能分析方法论 73 3.3
BPF-performance.rar
04-01
linux系统观测BPF
【译】eBPF 概述:第 5 部分:跟踪用户进程
dwh0403的专栏
09-29 412
本系列导航: eBPF 概述:第 1 部分:介绍 eBPF 概述:第 2 部分:机器和字节码 eBPF 概述:第 3 部分:软件开发生态 eBPF概述:第 4 部分:在嵌入式系统运行S eBPF概述:第 5 部分:追踪用户进程 原文地址:https://www.collabora.com/news-and-blog/blog/2019/05/14/an-ebpf-overview-part-5-tracing-user-processes/ 首发地址:https://ebpf.top/post/ebp
使用 eBPF 实时持续跟踪进程文件记录
云原生实验室
06-02 1678
本文主要用于演示基于 ebpf 技术来实现对于系统调用跟踪和特定条件过滤,实现基于 BCC[1] 的 Python 前端绑定,过程中对于代码的实现进行了详细的解释,可以作为学习 ebpf ...
三分钟学会编写 eBPF 程序:使用 eBPF 程序监控打开文件路径并使用 Prometheus 可视化
云微的blog
09-30 939
opensnoop通过对 open 系统调用的追踪,使得用户可以较为方便地掌握目前系统中调用了 open 系统调用的进程信息。源代码:https://github.com/eunomia-bpf/eunomia-bpf/tree/master/bpftools/examples/opensnooplibbpf 参考代码:https://github.com/iovisor/bcc/blob/master/libbpf-tools/opensnoop.bpf.c。
Linux 追踪技术 ftrace 简介(一)
热门推荐
小立仔
07-14 1万+
Linux ftrace追踪技术简介
Linux内核超级装备eBPF技术详细研究
Rocky的技术博客
10-07 1761
内核大神Brendan用了比喻的说法,更加形象地介绍了这个技术。eBPF对于Linux就相当于JavaScript对于HTML一样。JavaScript给静态的HTML网站带了了动态的内容和效果,已经丰富的交互能力。JavaScript程序运行在一个虚拟机的安全沙盒中。eBPF也对Linxu内核提供了类似的功能,程序员可以通过编写字节码,从而让程序工作在内核的沙盒环境中。eBPF更像是内核中JavaScript的V8虚拟机引擎。
ebpf c 学习
qq_32783703的博客
11-13 2917
前段时间开始学习ebpf,今晚上整理下来吧,马上12点了,整理晚睡觉,写下笔记感觉整个人都平静下来 做笔记的视频是linux内核社区的那群大学生的视频真的不错: BPF C编程入门_哔哩哔哩_bilibili ebpf的官网: eBPF - Introduction, Tutorials & Community Resources ebpf 的demo 其实在linux 内核源码里有很多例子,对我们学习内核知识是非常好的,遇到不会的知识点可以去看linux 内核的设计核实现^_^。
Linux平台下BPF模型的研究.pdf
09-06
Linux平台下BPF模型的研究.pdf
Linux-Observability-with-BPF.pdf
04-23
Linux-Observability-with-BPF.pdf
透视Linux内核,BPF 深度分析与案例讲解
qq_40989769的博客
06-08 1390
当内核触发事件时,BPF虚拟机能够运行相应的BPF程序指令,但是并不是意味着BPF程序能访问内核触发的所有事件。
ebpf 网络跟踪原理
zhaoyangjian724的专栏
11-07 430
第一个,kfree_skb ,它经常在网络异常丢包时调用;第二个,consume_skb ,它在正常网络连接完成时调用。紧随其后的 /comm=="curl"/ ,表示只跟踪 curl 进程,这是为了过滤掉其他不相关的进程操作。kprobe:kfree_skb 指定跟踪的内核函数为 kfree_skb;// 1. 第一个参数是 struct sk_buff。// 4. 打印源IP、目的IP和内核调用栈。// 2. 从网络头中获取源IP和目的IP。// 3. 只处理TCP协议。
使用 eBPF 技术跟踪 Netfilter 数据流
云原生实验室
08-30 730
1. 网络层数据流向与 Netfilter 体系图 1-1 为网络层内核收发核心流程图,在函数流程图中我们可以看到 Netfliter 在其中的位置(图中深色底纹圆角矩形)。图中对应的 h...
【博客577】使用ebpf工具nettrace追踪网络包流向
qq_43684922的博客
01-08 2111
nettrace是一款基于eBPF的集网络报文跟踪(故障定位)、网络故障诊断、网络异常监控于一体的网络工具集,旨在能够提供一种更加高效、易用的方法来解决复杂场景下的网络问题。网络报文跟踪跟踪网络报文从进入到内核协议栈到释放/丢弃的过程中在内核中所走过的路径,实现报文整个生命周期的监控,并采集生命周期各个阶段的事件、信息。通过观察报文在内核中的路径,对于有一定内核协议栈经验的人来说可以快速、有效地发现网络问题。
非常神奇的Linux技术:BPF
msbjy的博客
04-27 3311
近两年BPF技术跃然成为了一项热门技术,在KubeCon 2020 Europe会议上有7个关于BPF的技术分享, 而在KubeCon 2020 China会议上也已有了3个关于BPF技术的中文分享,分别来自腾讯和PingCAP,涉足网络优化和系统追踪等领域。在中文社区里,包括阿里巴巴、网易、字节跳动等国内第一梯队IT公司也越来越关注BPF这项新技术。 一、前言 作为一个coder,时不时会遇到性能问题,有时候明明看资源,cpu,io都占用不高,程序的性能就是上不去,真有一种想进入到计算机里面看看到底发
eBPF系列学习(2)-eBPF工具BCC、bpftrace(文件相关操作跟踪点整理)\BCC和bpftrace 对比以及libbpf
西京刀客
08-27 1370
IO Visor 项目开源的 BCC、 BPFTrace : BCC 提供了更高阶的抽象,可以让用户采用 Python、C++ 和 Lua 等高级语言快速开发 BPF 程序;BPFTrace 采用类似于 awk 语言快速编写 eBPF 程序;
解决 Linux 和 Java 1.8 中上传中文名称图片报错问题
最新发布
appearappear的博客
06-12 272
Linux 系统和 Java 1.8 中,当尝试上传含有中文名称的图片时,可能会遇到以下错误提示:为了解决这个问题,可以采取以下方法:在 Docker 的 中添加如下参数:Dockerfile使用以下命令启动 Java 程序,添加 参数:通过以上配置,确保了在启动 Java 程序时,使用了 UTF-8 编码,这样可以正确处理含有中文名称的文件,避免了报错问题的发生。3.5
linux observability with bpf pdf
07-08
它涵盖了BPFLinux系统中的各个方面,包括BPF程序的编写、加载和追踪,以及如何使用BPF来监控系统的各个组件,如网络、文件系统和性能指标等。 通过阅读这本书,读者可以学到如何使用BPF来解决实际的系统问题。...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值