Ubuntu 安装 libbpf 教程

已于 2023-06-07 11:00:45 修改
阅读量2.2k 收藏 2
点赞数 1
文章标签: linux 云原生
于 2023-05-24 10:11:43 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43472789/article/details/130839929
版权

libbpf C/C++库

libbpf 安装

 libbpf 编译

 参考资料

libbpf C/C++库

libbpf 库是一个基于 C/C++ 的通用 eBPF 库,它有助于将由 clang/LLVM 编译器生成的 eBPF 目标文件加载到内核中,并且通常通过提供易于使用的库 API 来抽象与 BPF 系统调用的交互应用程序。

libbpf 安装

1.获取最新的bcc代码

git clone https://github.com/iovisor/bcc.git

 2.在bcc中获取libbpf和bpftool的代码

cd bcc
git submodule update --init --recursive

这时查看bcc/libbpf-tools/bpftool和bcc/src/cc/libbpf,发现也已经下载好了需要使用的源码。

3.回到bcc/libbpf-tools,运行make进行编译

 4.编译成功后,等待安装,并重启ubuntu。

5.开启BTF特性,以下两种方式均可。(如果没有打开,需要开启该选项并重新编译内核。如果编译过程中出现BTF的一个报错,尝试安装dwraves、libdwarves-devel包解决)

# zcat /proc/config.gz | grep BTF
CONFIG_DEBUG_INFO_BTF=y
# file /sys/kernel/btf/vmlinux
/sys/kernel/btf/vmlinux: data
//不支持BTF时,重新配置和编译内核
make menuconfig
//选中kernel hacking --> Compile-time checks and compiler option -->Generate BTF
//typeinfo后,打开编译开关CONFIG_DEBUG_INFO_BTF。

6.安装相关依赖,包括:

bpftool、libbpf、libbpf-devel、elf-utils、kernel-source

7.运行一下libbpf-tools中的工具,检测libbpf是否安装成功。运行结果如下:

 libbpf 编译

<app>.bpf.c 文件是BPF C代码,其中包含要在内核上下文中执行的逻辑;

<app>.c 是用户空间C代码,它在应用程序的整个生命周期中加载BPF代码并与其交互;

可选的<app> .h 是具有常见类型定义的头文件,并且由应用程序的BPF和用户空间代码共享。

有了 eBPF 程序,就可以使用 clang 和 bpftool 将其编译成 BPF 字节码,然后再生成其头文件编译内核态文件(此处以execsnoop为例)。

execsnoop.bpf.c

//execsnoop.bpf.c
// 包含头文件
#include "vmlinux.h"
#include "execsnoop.h"
#include <bpf/bpf_helpers.h>

static const struct event empty_event = { };

// 定义哈希映射
struct {
	__uint(type, BPF_MAP_TYPE_HASH);
	__uint(max_entries, 10240);
	__type(key, pid_t);
	__type(value, struct event);
} execs SEC(".maps");

// 定义性能事件映射
struct {
	__uint(type, BPF_MAP_TYPE_PERF_EVENT_ARRAY);
	__uint(key_size, sizeof(u32));
	__uint(value_size, sizeof(u32));
}events SEC(".maps");

// 定义sys_enter_execve跟踪点函数
SEC("tracepoint/syscalls/sys_enter_execve")
int tracepoint__syscalls__sys_enter_execve(struct trace_event_raw_sys_enter
					   *ctx)
{
	struct event *event;
	const char **args = (const char **)(ctx->args[1]);
	const char *argp;

	// 查询PID
	u64 id = bpf_get_current_pid_tgid();
	pid_t pid = (pid_t) id;

	// 保存一个空的event到哈希映射中
	if (bpf_map_update_elem(&execs, &pid, &empty_event, BPF_NOEXIST)) {
		return 0;
	}
	event = bpf_map_lookup_elem(&execs, &pid);
	if (!event) {
		return 0;
	}
	// 初始化event变量
	event->pid = pid;
	event->args_count = 0;
	event->args_size = 0;

	// 查询第一个参数
	unsigned int ret = bpf_probe_read_user_str(event->args, ARGSIZE,
						   (const char *)ctx->args[0]);
	if (ret <= ARGSIZE) {
		event->args_size += ret;
	} else {
		/* write an empty string */
		event->args[0] = '\0';
		event->args_size++;
	}

	// 查询其他参数,使用pragma unroll控制循环次数
	event->args_count++;
#pragma unroll
	for (int i = 1; i < TOTAL_MAX_ARGS; i++) {
		bpf_probe_read_user(&argp, sizeof(argp), &args[i]);
		if (!argp)
			return 0;

		if (event->args_size > LAST_ARG)
			return 0;

		ret =
		    bpf_probe_read_user_str(&event->args[event->args_size],
					    ARGSIZE, argp);
		if (ret > ARGSIZE)
			return 0;

		event->args_count++;
		event->args_size += ret;
	}

	// 再尝试一次,确认是否还有未读取的参数
	bpf_probe_read_user(&argp, sizeof(argp), &args[TOTAL_MAX_ARGS]);
	if (!argp)
		return 0;

	// 如果还有未读取参数,则增加参数数量(用于输出"...")
	event->args_count++;

	return 0;
}

// 定义sys_exit_execve跟踪点函数
SEC("tracepoint/syscalls/sys_exit_execve")
int tracepoint__syscalls__sys_exit_execve(struct trace_event_raw_sys_exit *ctx)
{
	u64 id;
	pid_t pid;
	int ret;
	struct event *event;

	// 从哈希映射中查询进程基本信息
	id = bpf_get_current_pid_tgid();
	pid = (pid_t) id;
	event = bpf_map_lookup_elem(&execs, &pid);
	if (!event)
		return 0;

	// 更新返回值和进程名称
	ret = ctx->ret;
	event->retval = ret;
	bpf_get_current_comm(&event->comm, sizeof(event->comm));

	// 提交性能事件
	size_t len = EVENT_SIZE(event);
	if (len <= sizeof(*event))
		bpf_perf_event_output(ctx, &events, BPF_F_CURRENT_CPU, event,
				      len);

	// 清理哈希映射
	bpf_map_delete_elem(&execs, &pid);
	return 0;
}
// 定义许可证(前述的BCC默认使用GPL)
char LICENSE[] SEC("license") = "GPL";

execsnoop.c 

#include <stdio.h>
#include <unistd.h>
#include <stdlib.h>
#include <sys/resource.h>
#include <bpf/libbpf.h>
#include <time.h>
#include "execsnoop.h"
#include "execsnoop.skel.h"

// libbpf错误和调试信息回调的处理程序。
static int libbpf_print_fn(enum libbpf_print_level level, const char *format,
			   va_list args)
{
#ifdef DEBUGBPF
	return vfprintf(stderr, format, args);
#else
	return 0;
#endif
}

// 丢失事件的处理程序。
void handle_lost_events(void *ctx, int cpu, __u64 lost_cnt)
{
	fprintf(stderr, "Lost %llu events on CPU #%d!\n", lost_cnt, cpu);
}

// 打印参数(替换'\0'为空格)
static void print_args(const struct event *e)
{
	int args_counter = 0;

	for (int i = 0; i < e->args_size && args_counter < e->args_count; i++) {
		char c = e->args[i];
		if (c == '\0') {
			args_counter++;
			putchar(' ');
		} else {
			putchar(c);
		}
	}
	if (e->args_count > TOTAL_MAX_ARGS) {
		fputs(" ...", stdout);
	}
}

// 性能事件回调函数(向终端中打印进程名、PID、返回值以及参数)
void handle_event(void *ctx, int cpu, void *data, __u32 data_sz)
{
	const struct event *e = data;
	printf("%-16s %-6d %3d ", e->comm, e->pid, e->retval);
	print_args(e);
	putchar('\n');
}

// Bump RLIMIT_MEMLOCK,允许BPF子系统做任何它需要的事情。  
static void bump_memlock_rlimit(void)
{
	struct rlimit rlim_new = {
		.rlim_cur = RLIM_INFINITY,
		.rlim_max = RLIM_INFINITY,
	};

	if (setrlimit(RLIMIT_MEMLOCK, &rlim_new)) {
		fprintf(stderr, "Failed to increase RLIMIT_MEMLOCK limit!\n");
		exit(1);
	}
}

int main(int argc, char **argv)
{
	struct execsnoop_bpf *skel;
	struct perf_buffer_opts pb_opts;
	struct perf_buffer *pb = NULL;
	int err;

	// 1. 设置调试输出函数,libbpf发生错误会回调libbpf_print_fn
	libbpf_set_print(libbpf_print_fn);

	// 2. 增大进程限制的内存,默认值通常太小,不足以存入BPF映射的内容
	bump_memlock_rlimit();

	// 3. 打开BPF程序
	skel = execsnoop_bpf__open();
	if (!skel) {
		fprintf(stderr, "Failed to open BPF skeleton\n");
		return 1;
	}

	// 4. 加载BPF字节码
	err = execsnoop_bpf__load(skel);
	if (err) {
		fprintf(stderr, "Failed to load and verify BPF skeleton\n");
		goto cleanup;
	}

	// 5. 挂载BPF字节码到跟踪点
	err = execsnoop_bpf__attach(skel);
	if (err) {
		fprintf(stderr, "Failed to attach BPF skeleton\n");
		goto cleanup;
	}

	// 6. 配置性能事件回调函数
	pb_opts.sample_cb = handle_event;
	pb_opts.lost_cb = handle_lost_events;
	pb = perf_buffer__new(bpf_map__fd(skel->maps.events), 64, &pb_opts);
	err = libbpf_get_error(pb);
	if (err) {
		pb = NULL;
		fprintf(stderr, "failed to open perf buffer: %d\n", err);
		goto cleanup;
	}

	printf("%-16s %-6s %3s %s\n", "COMM", "PID", "RET", "ARGS");

	// 7. 从缓冲区中循环读取数据
	while ((err = perf_buffer__poll(pb, 100)) >= 0) ;
	printf("Error polling perf buffer: %d\n", err);

 cleanup:
	perf_buffer__free(pb);
	execsnoop_bpf__destroy(skel);
	return err != 0;
}

execsnoop.h

/* SPDX-License-Identifier: (LGPL-2.1 OR BSD-2-Clause) */
#ifndef __EXECSNOOP_H
#define __EXECSNOOP_H

#define ARGSIZE  128
#define TASK_COMM_LEN 16
#define TOTAL_MAX_ARGS 60
#define DEFAULT_MAXARGS 20
#define FULL_MAX_ARGS_ARR (TOTAL_MAX_ARGS * ARGSIZE)
#define INVALID_UID ((uid_t)-1)
#define BASE_EVENT_SIZE (size_t)(&((struct event*)0)->args)
#define EVENT_SIZE(e) (BASE_EVENT_SIZE + e->args_size)
#define LAST_ARG (FULL_MAX_ARGS_ARR - ARGSIZE)

struct event {
	pid_t pid;
	pid_t ppid;
	uid_t uid;
	int retval;
	int args_count;
	unsigned int args_size;
	char comm[TASK_COMM_LEN];
	char args[FULL_MAX_ARGS_ARR];
};

#endif /* __EXECSNOOP_H */
//将execsnoop.bpf.c编译成execsnoop.bpf.o
clang -g -O2 -target bpf -D__TARGET_ARCH_x86_64 -I/usr/include/x86_64-linuxgnu -I. -c execsnoop.bpf.c -o execsnoop.bpf.o
//将execsnoop.bpf.o转换为execsnoop.skel.h
bpftool gen skeleton execsnoop.bpf.o > execsnoop.skel.h

编译用户态文件,得到execsnoop应用程序:

//编译用户态程序execsnoop.c和execsnoop.o
clang -g -O2 -Wall -I . -c execsnoop.c -o execsnoop.o
//链接成为可执行程序execsnoop
clang -Wall -O2 -g execsnoop.o -static -lbpf -lelf -lz -o execsnoop

 运行 execsnoop 应用程序

 参考资料

eBPF官方文档 - What is eBPF?

eBPF 入门之编程

eBPF学习记录(四)使用libbpf开发eBPF程序

Chientol
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
ubuntu20.04安装教程ubuntu20.04安装教程.txt
06-01
ubuntu20.04安装教程ubuntu20.04安装教程ubuntu20.04安装教程ubuntu20.04安装教程
ubuntu安装auto教程
02-21
Ubuntu系统上安装和使用Auto软件的教程 Ubuntu是一个基于Debian的开源操作系统,深受开发者和计算机爱好者的喜爱。在Ubuntu安装Auto软件是相对简单的,这个教程将引导你完成整个过程,确保你能顺利地在Ubuntu...
libbpf-bootstrap 开发指南:概念与如何安装
阿呆的隐秘角落
07-15 1636
libbpf-bootstrap 是一个项目,旨在帮助开发者快速启动和开发使用 eBPF (Extended Berkeley Packet Filter) 和 libbpf 的程序。eBPF 是一种可以在 Linux 内核中运行的程序,提供了强大的网络过滤、系统调用监控和性能分析等功能。libbpf 是一个库,用于加载和管理 eBPF 程序和 map。libbpf-bootstrap 提供了一些样例程序和模板,帮助开发者理解如何使用 libbpf 创建、加载、管理 eBPF 程序,并与这些程序进行交互。
libbpf-0.4.0-2.el8.ppc64le.rpm
12-21
官方离线安装包,亲测可用。使用rpm -ivh [rpm完整包名] 进行安装
ubuntu安装libbpf
qq_41914904的博客
01-10 601
然后cd libbpf-bootstrap/libbpf/src,make && make install 安装库文件到本地。libbpf.so.1 安装到本地成功,libbpf安装成功。
Libbpf-tools —— 让 Tracing 工具身轻如燕
TiDB_PingCAP 的博客
08-12 1993
本篇文章概述了 BPF 的主要应用,重点描述了 libbpf-tools 解决了哪些 BCC 痛点以及在 PingCAP 内部的相关实践。 BPF 最初代表 Berkeley Packet Filter,但在 Linux 中已扩展为通用内核执行引擎,能够运行新型的用户定义和内核模式应用程序。近几年来,BPF 子系统越发火热,迄至 Linux 5.8 内核,Linux 内核已经支持 30 种 eBPF 程序类型,遍布于内核各个角落,引起了广泛关注及热议,在 LWN 上甚至出现过 Why don’t we re
Ubuntu安装包时出现unable to locate libbpf解决方法
weixin_44260459的博客
02-20 1265
安装包时提示了unable to locate xxxx 的情况,这里记录一下 上网查找了资料,说是因为更换了源的原因,更换源后没有更新,所以会出现无法找到包的情况,但是实际上我是更新了,关于更换ubuntu的源的方法可以参考我另外一篇文章: Ubuntu 20.04 更换阿里源_木可木可❀的博客-CSDN博客 实际上在最后我已经执行了sudo apt-get update进行更新,但是还是提示了这个错误,gcc等的下载又没有任何问题,,所以我重启了一下,依旧不行,说明肯定不是更新的问题,应该是这个
ebpf之基于libbpf-tools开发环境搭建
qq_23887115的博客
09-24 304
linux ebpf libbpf libbpf-tools 开发环境
Ubuntu安装教程
09-04
**Ubuntu安装教程** Ubuntu是一款基于Debian的开源Linux操作系统,被广泛用于个人电脑、服务器以及云计算平台。本教程将引导你完成Ubuntu安装过程,并教你如何设置和管理root用户。 ### 一、安装VMware虚拟机 ...
ubuntu20.04安装教程.zip
01-27
ubuntu20.04安装教程ubuntu20.04安装教程.zipubuntu20.04安装教程.zip
libbpf:用于libbpf独立构建的自动上游镜像
05-12
BPF / libbpf的用法和问题 请查看和,以获取使用libbpf构建BPF应用程序的示例。 还是基于libbpf的现实世界中跟踪工具的良好来源。 所有常规BPF问题,包括内核功能,libbpf API及其应用程序,都应发送至邮件列表。 您可以订阅它并搜索其档案。 提出新问题之前,请先搜索档案。 这很可能是之前已经解决或回答过的。 受更多人监视,他们将很乐意为您解决任何问题。 应该仅打开该存储库的PR和问题,以处理与该libbpf镜像存储库的设置和组织的特定方式有关的问题。 建造 libelf是libbpf的内部依赖项,因此必须进行链接,并且必须将其安装在系统上才能使应用程序正常工作。 默认情况下,使用pkg-config查找libelf,可以使用PKG_CONFIG覆盖所调用的程序。 如果不需要在构建时使用pkg-config ,则可以在调用make时通过设置NO_PKG_C
libbpf-devel-0.4.0-1.el8.i686.rpm
12-07
离线安装包,亲测可用
bpftools, BPF工具包分析工具包.zip
09-18
bpftools, BPF工具包分析工具包 BPF工具介绍性博客文章:http://blog.cloudflare.com/bpf-the-forgotten-bytecode/http://blog.cloudflare.com/introducing-the-bpf-t
bpftool-3.10.0-957.el7.x86_64.rpm
11-30
离线安装包,亲测可用
VMware ubuntu 安装教程
01-09
VMware ubuntu安装教程ubuntu的联网问题 1、安装VMware 进入vmware官网,点击下载,选择Workstation Pro 选择你想下载的版本,电脑是Windows系统就安装Windows,是Linux系统就安装Linux,点击后面的专制下载 或者...
ubuntu21.10搭建ebpf环境,BCC和bpftrace
chinamen1的博客
05-02 5318
1. 安装虚拟机 虽说centos是生产环境中的标准系统,但是从个人学习角度还是推荐ubuntu,各种软件安装包都能方便地找到,操作界面时也很漂亮。之前一直在centos7.6上折腾,自己升级内核版本,自己安装各种高版本依赖,有一段时间被折磨得放弃了很久。这次决定直接从最新版的ubuntu21.10开始学习,centos8可能也会好很多,只是我没有尝试过。 1.1. 下载镜像 选择下载最新的桌面版就好,下载地址 https://cn.ubuntu.com/download/desktop,写这篇总结的时候版
ebpf的快速开发工具--libbpf-bootstrap
Rice开发经验分享
10-16 223
libbpf-bootstrap是一个开源项目,旨在帮助开发者快速启动和开发使用eBPF(Extended Berkeley Packet Filter)和libbpf的程序。eBPF是一种可以在Linux内核中运行的程序,提供了强大的网络过滤、系统调用监控和性能分析等功能。libbpf是一个库,用于加载和管理eBPF程序和map。libbpf-bootstrap提供了一些样例程序和模板,帮助开发者理解如何使用libbpf创建、加载、管理eBPF程序,并与这些程序进行交互。
bpf,ebpf,libbpf,在ubuntu22中ebpf工具的安装和介绍(libbpf_bootstarp,eunomia-bpf,bpftiime),关系总结,ebpf程序执行流程
最新发布
m0_74206992的博客
03-27 873
bpf,ebpf,libbpf,ebpf工具的安装和介绍(libbpf_bootstarp,eunomia-bpf,bpftiime),关系总结,ebpf程序执行流程
Ubuntu18.4 中 eBPF & bcc环境搭建
金荣的个人技术博客
02-20 6497
bcc安装 1、配置内核选项 在/usr/src目录下使用 make menuconfig命令进行如下内核配置: CONFIG_BPF=y CONFIG_BPF_SYSCALL=y # [optional, for tc filters] CONFIG_NET_CLS_BPF=m # [optional, for tc actions] CONFIG_NET_ACT_BPF=m CONFIG_BP...
ubuntu安装libbpf
05-13
你可以按照以下步骤在 Ubuntu安装 libbpf: 1. 首先,确保你的系统已经安装了 Git 和 LLVM: ``` sudo apt update sudo apt install git llvm ``` 2. 克隆 libbpf 仓库: ``` git clone https://github.com/libbpf/libbpf.git ``` 3. 进入 libbpf 目录,并执行以下命令: ``` cd libbpf/src make sudo make install ``` 这将编译并安装 libbpf 库到你的系统上。 4. 验证 libbpf 是否成功安装: ``` ldconfig -p | grep libbpf ``` 如果成功安装,你将看到类似以下的输出: ``` libbpf.so.0 (libc6,x86-64) => /usr/lib/x86_64-linux-gnu/libbpf.so.0 libbpf.so (libc6,x86-64) => /usr/lib/x86_64-linux-gnu/libbpf.so ``` 如果出现错误,请检查你的安装步骤是否有误,或者尝试重新安装

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值