【kernel doc】【trace】kprobetrace翻译

最新推荐文章于 2024-02-21 11:26:04 发布
最新推荐文章于 2024-02-21 11:26:04 发布
阅读量190 收藏 1
点赞数 1
分类专栏: kernel doc
原文链接:https://www.kernel.org/doc/Documentation/trace/kprobetrace.txt
版权

原文链接:
Kprobe-based Event Tracing

概述

这些事件类似于基于tracepoint的事件。 但不同于Tracepoint,它基于 kprobes(kprobe 和 kretprobe)。 因此它可以探测 kprobes 可以探测的任何地方(这意味着,除了带有 __kprobes/nokprobe_inline 注释和标记为 NOKPROBE_SYMBOL 的那些函数之外的所有函数)。
与基于 Tracepoint 的事件不同,它可以动态添加和删除。

要启用此功能,请使用 CONFIG_KPROBE_EVENTS=y 构建内核。

与事件tracer类似,它不需要通过 current_tracer 激活。 取而代之的是,通过添加探测点
/sys/kernel/debug/tracing/kprobe_events,并通过启用它
/sys/kernel/debug/tracing/events/kprobes/<EVENT>/enabled

kprobe_events 的概要

p[:[GRP/]EVENT] [MOD:]SYM[+offs]|MEMADDR [FETCHARGS] : 设置一个probe
r[MAXACTIVE][:[GRP/]EVENT] [MOD:]SYM[+0] [FETCHARGS] : 设置一个return probe
-:[GRP/]EVENT : 清除probe

GRP:组名。如果省略,请使用“kprobes”。
EVENT:事件名称。如果省略,则根据 SYM+offs 或 MEMADDR 生成事件名称。
MOD : 给出了 SYM 的模块名称。
SYM[+offs] :插入probe的符号+偏移量。
MEMADDR :probe插入的地址。
MAXACTIVE : 可以同时探测的指定函数的最大实例数,或 0 作为默认值,如文档/kprobes.txt 部分 1.3.1 中所定义。

FETCHARGS :参数。每个探针最多可以有 128 个参数。

 %REG : 获取寄存器 REG
 @ADDR :在 ADDR 处获取内存(ADDR 应该在内核中)
 @SYM[+|-offs] :在 SYM +|- offs 处获取内存(SYM 应该是数据符号)
 $stackN : 获取栈的第 N 个条目 (N >= 0)
 $stack :获取堆栈地址。
 $retval : 获取返回值。(*)
 $comm :获取当前任务comm。
 +|-offs(FETCHARG) : 在 FETCHARG +|- offs 地址获取内存。(**)
 NAME=FETCHARG :将 NAME 设置为 FETCHARG 的参数名称。
 FETCHARG:TYPE : 将 TYPE 设置为 FETCHARG 的类型。目前,基本类型(u8/u16/u32/u64/s8/s16/s32/s64),十六进制类型(x8/x16/x32/x64),支持“字符串”和位域。
 (*) 只针对return probe
 (**) 对于获取数据结构的域很有用处

Type

fetch-args 支持多种类型。 Kprobe tracer将按给定类型访问内存。 前缀 ‘s’ 和 ‘u’ 表示这些类型分别是有符号和无符号的。 ‘x’ 前缀意味着它是无符号的。 被trace的参数以十进制(“s”和“u”)或十六进制(“x”)显示。 如果没有类型转换,使用 ‘x32’ 或 ‘x64’ 取决于架构(例如 x86-32 使用 x32,而 x86-64 使用 x64)。
字符串类型是一种特殊类型,它从内核空间获取一个“以空字符结尾的”字符串。 这意味着如果字符串容器已被调出,它将失败并存储 NULL。
位域是另一种特殊类型,它采用 3 个参数,位宽、位偏移和容器大小(通常为 32)。 语法是;

b<bit-width>@<bit-offset>/<container-size>

对于 $comm,默认类型是 “string”; 任何其他类型都是无效的。

Per-Probe Event Filtering

Per-probe事件过滤功能允许您在每个probe上设置不同的过滤器,并向你提供参数,此参数也将在跟踪缓冲区中显示。 如果在 kprobe_events 中的 ‘p:’ 或 ‘r:’ 之后指定了正确的名称,则会在tracing/events/kprobes/<EVENT> 下添加一个事件,在目录中您可以看到 ‘id’, ‘enabled’, ’ 格式”和“过滤器”。

enabled:
您可以通过在其上写入 1 或 0 来启用/禁用探针。

format:
这显示了此探测事件的格式。

filter:
您可以编写此事件的过滤规则。

ID:
这显示了此探测事件的 ID。

Event Profiling

您可以通过以下方式检查probe命中总数和probe未命中总数
/sys/kernel/debug/tracing/kprobe_profile
第一列是事件名称,第二列是探测命中数,第三列是探测未命中数。

Usage examples

要将探测器添加为新事件,请向 kprobe_events 写入新定义
如下。

   echo 'p:myprobe do_sys_open dfd=%ax filename=%dx flags=%cx mode=+4($stack)' \
   > /sys/kernel/debug/tracing/kprobe_events
   (译注:这里的ax dx cx 都是寄存器名字)

这会在 do_sys_open() 函数的顶部设置一个 kprobe,将第 1 到第 4 个参数记录为“myprobe”事件。 请注意,分配给每个函数参数的寄存器/堆栈条目取决于特定于架构的 ABI。 如果您不确定 ABI,请尝试使用 perf-tools 的 probe 子命令(您可以在 tools/perf/ 下找到它)。
如本示例所示,用户可以为每个参数选择更熟悉的名称。

   echo 'r:myretprobe do_sys_open $retval' >> /sys/kernel/debug/tracing/kprobe_events

这会在 do_sys_open() 函数的返回点设置一个 kretprobe,并将返回值记录为“myretprobe”事件。
您可以通过以下方式查看这些事件的格式 /sys/kernel/debug/tracing/events/kprobes/<EVENT>/format.

cat /sys/kernel/debug/tracing/events/kprobes/myprobe/format
name: myprobe
ID: 780
format:
        field:unsigned short common_type;       offset:0;       size:2; signed:0;
        field:unsigned char common_flags;       offset:2;       size:1; signed:0;
        field:unsigned char common_preempt_count;       offset:3; size:1;signed:0;
        field:int common_pid;   offset:4;       size:4; signed:1;

        field:unsigned long __probe_ip; offset:12;      size:4; signed:0;
        field:int __probe_nargs;        offset:16;      size:4; signed:1;
        field:unsigned long dfd;        offset:20;      size:4; signed:0;
        field:unsigned long filename;   offset:24;      size:4; signed:0;
        field:unsigned long flags;      offset:28;      size:4; signed:0;
        field:unsigned long mode;       offset:32;      size:4; signed:0;
     
print fmt: "(%lx) dfd=%lx filename=%lx flags=%lx mode=%lx", REC->__probe_ip,
REC->dfd, REC->filename, REC->flags, REC->mode

您可以看到事件有 4 个参数,如您指定的表达式。

echo > /sys/kernel/debug/tracing/kprobe_events

这将清除所有探测点。

或者,

echo -:myprobe >> kprobe_events

这将选择性地清除探测点。
在定义之后,默认情况下每个事件都是禁用的。 要跟踪这些事件,您需要启用它。

   echo  1 > /sys/kernel/debug/tracing/events/kprobes/myprobe/enable
   echo 1 > /sys/kernel/debug/tracing/events/kprobes/myretprobe/enable

您可以通过 /sys/kernel/debug/tracing/trace 查看跟踪信息。

  cat /sys/kernel/debug/tracing/trace
# tracer: nop
#
#           TASK-PID    CPU#    TIMESTAMP  FUNCTION
#              | |       |          |         |
           <...>-1447  [001] 1038282.286875: myprobe: (do_sys_open+0x0/0xd6) dfd=3 filename=7fffd1ec4440 flags=8000 mode=0
           <...>-1447  [001] 1038282.286878: myretprobe: (sys_openat+0xc/0xe <- do_sys_open) $retval=fffffffffffffffe
           <...>-1447  [001] 1038282.286885: myprobe: (do_sys_open+0x0/0xd6) dfd=ffffff9c filename=40413c flags=8000 mode=1b6
           <...>-1447  [001] 1038282.286915: myretprobe: (sys_open+0x1b/0x1d <- do_sys_open) $retval=3
           <...>-1447  [001] 1038282.286969: myprobe: (do_sys_open+0x0/0xd6) dfd=ffffff9c filename=4041c6 flags=98800 mode=10
           <...>-1447  [001] 1038282.286976: myretprobe: (sys_open+0x1b/0x1d <- do_sys_open) $retval=3

每行显示内核何时触发事件,<- SYMBOL 表示内核从 SYMBOL 返回(例如“sys_open+0x1b/0x1d <- do_sys_open”表示内核从 do_sys_open 返回到 sys_open+0x1b)。

馒头2870
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Linux:ftrace & kprobetrace
mzhan017的博客
01-03 1355
这个kprobetrace类似基于事件的tracepoint(跟踪点)。不过这个是基于kprobes(kprobe and kretprobe)。所有kprobe可以探测的地方,都可以使用这个kprobetrace功能。也就意味着,除了带有__kprobes/nokprobe_inline 关键字的函数,还有带有标记NOKPROBE_SYMBOL的函数外,所有的其他函数都可以做kprobetrace。而且是可以动态做探测,不像tracepoint,是静态编译在内核模块里。
Kprobe-based Event Tracing
HZero
01-04 544
前言 本文是对内核文档 《Kprobe-based Event Tracing》的翻译和整理。 kprobe可以在except those with __kprobes/nokprobe_inline annotation and those marked NOKPROBE_SYMBOL的任何函数设置trace event。 使用前需要打开内核选项:CONFIG_KPROBE_EVENTS=y. 可以通过/sys/kernel/debug/tracing/kprobe_events来增加kprobe跟踪点,
trace系列4 - kprobe学习笔记
HZero
10-30 2722
1.前言 本文主要是根据阅码场 《Linux内核tracers的实现原理与应用》视频课程在aarch64上的实践。通过观察钩子函数的创建过程以及替换过程,理解trace的原理。本文同样以blk_update_request函数为例进行说明function trace kprobe的工作原理,此处的kprobe是基于function trace来实现。 kernel版本:5.10 平台:arm64 2. function trace钩子函数替换过程 2.1 编译阶段 同Linux ftrace学习笔记中编
ftrace,kprobe,tracepoint 入门
weixin_38184628的博客
02-21 1273
调试工具在开发过程中是必不可少的,特别是在定位 bug, 分析性能瓶颈的时候,调试工具可以给我们很大的帮助。在使用 c/c++ 做应用开发时,gdb 是我们经常使用的调试工具,在使用 gdb 时, 我们可以设置断点,查看调用栈,单步执行,修改或查看变量等。调试工具可以帮助我们直观地观察到软件的运行过程,进而使我们快速熟悉一个新的软件。比如在工作中,想要了解已有软件的架构,只靠看代码是很难了解透彻的,通过日志和调试工具可以提高学习效率。
objtrace代码调试
chensong_2000的博客
11-03 447
objtrace的调试过程
KernelDoc.tar.xz
02-26
linux kernel5.5.6 Docs. 使用linux5.5.6编译出来的文档
Linux-Kernel官方文档.pdf
08-05
3882页Linux Kernel Documentation; Linux Kernel官方文档
Let us write a Kernel.doc
06-29
在深入探讨如何编写一个简单的内核之前,我们首先需要了解x86架构的启动过程。x86处理器在开机时会从物理地址[0xFFFFFFF0]开始执行,这是一个硬编码的地址,通常包含一条跳转指令,指向BIOS复制自身的位置。...
Linux内核中断trace机制log解析工具
08-14
用于将通过cat /sys/kernel/debug/tracing/trace命令获取的log文件,进行解析,和统计,分类:哪一号中断,在哪一号CPU上运行,总共运行时间多久,最大单次处理时间,最小单次处理时间,平均处理时间,相同中断发生...
linux kernel doc
02-16
linux kernel doclinux kernel doclinux kernel doclinux kernel doclinux kernel doclinux kernel doclinux kernel doclinux kernel doclinux kernel doc
ftrace kprobe调试
cll__的博客
05-15 4614
内核调试一般可以通过printk打印,这种方式需要重新编译内核,或者模块,如果编译内核还要重启设备才能生效。kprobe是一种内核调试方式,可以在内核执行代码位置中断,并执行我们插入的代码。同时内核提供了另一套接口 kprobe-trace,这个接口的优点是通过proc接口操作,不需要写代码,适合做一些临时的debug打印。
Linux内核调试技术——kprobe使用与实现
热门推荐
My Linux Journey
12-18 4万+
Linux kprobes调试技术是内核开发者们专门为了便于跟踪内核函数执行状态所设计的一种轻量级内核调试技术。利用kprobes技术,内核开发人员可以在内核的绝大多数指定函数中动态的插入探测点来收集所需的调试状态信息而基本不影响内核原有的执行流程。
内核态调测工具(一) kprobe
cui841923894的博客
08-23 2109
Kprobe介绍 Kprobe是一种内核调测手段,它可以动态地跟踪内核的行为、收集debug信息和性能信息。可以跟踪内核几乎所有的代码地址(almost:不允许跟踪的名单blacklist在/sys/kernel/debug/kprobes/blacklist),并且当断点被击中后会响应处理函数。 Kprobe有三个子功能: Kprobes:几乎可以插入内核的任何指令; Jprobes:可...
Linux Trace总结
lxb122435677的博客
08-31 1937
Utrace 论文地址 1. 暂未合入kernel主线,最终Ptrace底层可由utrace实现,Ptrace可作为utrace的客户端 2. uprobe是utrace的客户端 Ptrace 系统调用,主要用来实现debug工具,也可用来实现trace的功能。 ?如何实现的断点 Ptrace应用场景: gdb:跟踪多线程时,一旦某一个线程命中一个断点,gdb会停止所有的线程; strace...
内核调试之kprobe
苟浩的博客
03-22 1618
trace-kprobe 简介 在调试内核的时候要跟踪函数有没有执行或者返回值等等,kprobe可以实现这些,用代码写的kprobe模块还可以修改返回值。这篇主要介绍kprobe在trace下的使用。 本文以 do_filp_open 函数为例,来看一下kprobe在trace里的基本使用,do_filp_open代码如下: struct file *do_filp_open(int dfd, struct filename *pathname, const struct open_flags *op)
Linux ftrace 2.3、kprobe event的使用
pwl999的博客
05-24 6302
原始的trace event插桩是静态的:使用TRACE_EVENT()定义tracepoint,并且在代码中显式调用tracepoint。而kprobe机制可以实现在内核运行时动态的插桩,利用kprobe机制我们可以动态的插入trace event,实现和静态trace event同样的功能。 参考原文:Kprobe-based Event Tracing 1、Overview 这些e...
大学生挑战杯-喜树根器官培养和抗癌物质喜树碱生成的研究.rar
07-26
大学生挑战杯-喜树根器官培养和抗癌物质喜树碱生成的研究.rar
b278视频及游戏管理平台-springboot+vue.zip(可运行源码+sql文件+)
07-26
视频及游戏管理平台是一个很好的项目,结合了后端(Spring Boot)和前端(Vue.js)技术,实现了前后端分离。 视频及游戏管理平台是一个很好的项目,结合了后端(Spring Boot)和前端(Vue.js)技术,实现了前后端分离。 视频及游戏管理平台是一个很好的项目,结合了后端(Spring Boot)和前端(Vue.js)技术,实现了前后端分离。 视频及游戏管理平台是一个很好的项目,结合了后端(Spring Boot)和前端(Vue.js)技术,实现了前后端分离。 视频及游戏管理平台是一个很好的项目,结合了后端(Spring Boot)和前端(Vue.js)技术,实现了前后端分离。 视频及游戏管理平台是一个很好的项目,结合了后端(Spring Boot)和前端(Vue.js)技术,实现了前后端分离。
大模型应用-为Ollma开发的简单的HTML网页UI应用-附项目源码-优质项目实战.zip
最新发布
07-26
大模型应用_为Ollma开发的简单的HTML网页UI应用_附项目源码_优质项目实战
kernel Call trace
06-13
Kernel Call Trace是指内核调用跟踪,它是用于诊断Linux内核崩溃和故障的一种技术。当Linux内核遇到严重的错误或异常时,它会打印出一条Call Trace,它是一个函数调用链,显示了内核在出现错误之前执行的函数序列。 ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值