通过bcc 使用ebpf

最新推荐文章于 2024-06-28 11:05:11 发布
最新推荐文章于 2024-06-28 11:05:11 发布
阅读量3k 收藏 4
点赞数
分类专栏: Linux 源码分析
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/tiantao2012/article/details/74517789
版权
通过前一篇博文知道要使用ebpf debug kernel还是相当麻烦的,github 上有个项目
https://github.com/iovisor/bcc 可以简化ebpf的操作,应为kernel space已经支持ebpf,所以这个项目主要集中在user space部分的编写,user space 可以通过各种语言编写,这里以python为例.
下面的代码的是在调用sys_clone的时候调用hello 函数来输出Hello, World


#!/usr/bin/env python
#
# This is a Hello World example that formats output as fields.

from bcc import BPF

# define BPF program
定义处理函数
prog = """
int hello(void *ctx) {
    bpf_trace_printk("Hello, World!\\n");
    return 0;
}
"""

# load BPF program
加载BPF 加载hello
b = BPF(text=prog)
指定调用sys_clone时候对应的回调函数是hello
b.attach_kprobe(event="sys_clone", fn_name="hello")

# header
print("%-18s %-16s %-6s %s" % ("TIME(s)", "COMM", "PID", "MESSAGE"))

# format output
监听并输出log
while 1:
    try:
        (task, pid, cpu, flags, ts, msg) = b.trace_fields()
    except ValueError:
        continue
    print("%-18.9f %-16s %-6d %s" % (ts, task, pid, msg))
tiantao2012
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
使用 eBPF 调试 Python 容器
k8s 生态
12-24 477
随着 Docker/Kubernetes 等容器技术的盛行,越来越多的 Python 应用已经运行在容器中了。在带来便利性的同时,也让生产环境中的 debug 变的复杂。eBPF 是一项...
eBPF监控工具bcc系列一启航
weixin_34129145的博客
05-07 1110
 在eBPF篇中,我们知道虽然可用 C 来实现 BPF,但编译出来的却仍然是 ELF 文件,开发者需要手动析出真正可以注入内核的代码。工作有些麻烦,于是就有人设计了 BPF Compiler Collection(BCC),BCC 是一个(基于 C 和 C++) python 库,实现了对 BCC 应用层接口的封装。   使用 BCC 进行 BPF ...
eBPF实战教程二|数据库网络流量最精准的量化方法(含源码)
最新发布
zhangjikuan的专栏
06-28 1019
自从DBdoctor率先将eBPF技术深度应用于数据库领域后,便迅速在业界引起了广泛的关注和讨论。阿里、美团、京东、字节跳动等众多头部企业纷纷主动与我们展开了深入的技术交流。与此同时,我们也收获了大量eBPF爱好者的关注,在第一篇关于uprobe的文章发布后,许多小伙伴都已按教程成功跑通代码并进行深入自学应用。应广大读者的热情催促,现推出第二篇eBPF的纯技术分享文章——如何手码一个Kprobe函数来分析MySQL数据库的网络流量。
bcc/ebpf使用介绍
cocoti的博客
06-08 2692
ebpf是linux trace框架的一部分内容,trace的介绍可以参考linux tracers使用介绍。trace框架允许我们在内核态/用户态的代码中加钩子,并定义了一些预置的钩子函数,实现一些基本的调试功能。而对于需要比较灵活的处理的情况,可以使用ebpf,允许用户自定义钩子函数,进行例如信息的过滤、统计、计算等处理。bcc是一个工具包,使用python来对ebpf进行封装,以便更加方便的使用ebpf,并内置了很多已经写好的工具,bcc的github地址是:https://github.com/io
使用 BCC 开发 eBPF 程序
zhaoyangjian724的专栏
10-28 178
使用 BCC 开发 eBPF 程序,可以把前面讲到的五步简化为下面的三步。第二步:使用 Python 和 BCC 库开发一个用户态程序。第一步:使用 C 开发一个 eBPF 程序。第三步:执行 eBPF 程序。
eBPF/BCC编程
weixin_44395686的博客
07-14 1618
eBPF/BCC编程 一.系统跟踪内容梳理 以下的思维导图是根据:linux tracing和profiling概论这篇文章的部分内容,加上自己这周对eBPF/bcc编程的学习总结整理出来的。大体的框架思路,还会不断完善。 二.eBPF/bcc编程 我在github上建了一个ebpfcode的仓库,记录了这周学习ebpf/bcc编程看过的比较好的资料和写过的代码,其中有些代码写了比较详细的注释,解释eBPF/bcc程序的结构,和一些接口函数的介绍。地址:ebpfcode仓库。 代码是边看边敲,敲的多了会发
bcc-scripts:使用eBPF的脚本
05-01
密件抄送脚本 缓存状态 显示%高速缓存读写命中 学习密件抄送的集合。 摘自布伦丹·格雷格的例子 USAGE: ./cachestat [-T] [ interval [count] ] show Linux page cache hit/miss statistics optional arguments: ...
基于eadb的eBPF开发环境
04-23
完成以上步骤后,接下来的任务是在EADB环境下安装eBPF相关的工具包,如BCC、bpftrace以及libbpf等。 - **安装BCC:** - 使用apt-get安装BCC: ```bash apt-get update apt-get install bcc-tools ``` - 如果...
vltrace:使用eBPF linux内核功能以快速方式跟踪系统调用的工具
05-19
vltrace:使用eBPF的syscall跟踪程序 这是vltrace的顶级README.md。 vltrace是一个系统调用跟踪工具,它利用eBPF(Linux内核的有效跟踪功能)。执照请参阅文件以获取有关此工具如何获得的信息。依赖vltrace取决于库...
weaver:使用uprobes和eBPF跟踪Go程序执行
04-07
-我目前正在将Weaver重构为使用libbpf而不是bcc,这将包括其他许多重大改进。 如果您当前使用的是weaver,请注意,在进行重大重构之前,功能/错误修复一直处于推迟状态。 这将在分支“重构”中进行跟踪 Weaver是一...
bcc.tar.gz bcc代码 bcc代码
07-18
通过使用BCC,开发者可以创建自定义的系统诊断工具,例如,可以监控特定进程的系统调用行为,跟踪磁盘I/O,或者分析网络流量。BCC还支持动态加载和卸载BPF程序,使得在不影响系统正常运行的情况下进行实时监控成为...
eBPF学习记录(三)使用BCC开发eBPF程序
jianjian的博客
02-27 7063
上一节我们已经初步体验了 eBPF 程序的开发和执行过程,现在我们试试了解一下bpftrace使用方法。
BCC使用记录
dong_chl的专栏
04-10 459
域名绑定 云服务器用的是BCC,域名是很久之前在阿里云购买的。之所以没继续在阿里云上购买云服务器,1是因为价格有点高,2是因为想体验下百度云的产品,而且当时在搞活动。 问题 域名绑定之后,过了一段时间发现IP地址无法ping通。 域名刚绑定时,可以通过域名访问自己的服务,过了段时间之后,收到百度云的通知,说域名需备案才可以使用域名访问自己的服务。因为当时还处于开发还处于测试阶段,所以就不急...
ebpfbcc程序入门
qq_44927248的博客
10-24 1662
了解内核态**如何向用户态传递数据**(BPF_ARRAY,BPF_HASH等和相应增删改查函数,用户态中如何读取数据b[""].items()等函数),了解在挂载函数时**如何选择相应的探针**(kprobes、kretprobes、uprobes、uretprobes),了解如何**从挂载的函数中获取数据**(PT_REGS_PARM*、PT_REGS_RC、以及bpf中定义的有关函数,如bpf_get_current_pid_tgid()),就可以尝试自己编写bcc程序了。
eBPF系列学习(3)-使用BCC开发eBPF程序\BCC bpf maps使用demo
西京刀客
06-08 616
BCC(BPF Compiler Collection)这个社区项目开始于 2015 年,差不多在内核中支持了 eBPF 的特性之后,BCC 这个项目就开始了。BCC 的目标就是提供一个工具链,用于编写、编译还有内核加载 eBPF 程序,同时 BCC 也提供了大量的 eBPF 的工具程序,这些程序能够帮我们做 Linux 的性能分析和跟踪调试。...............
Linux内核功能eBPF入门学习(一):BPF、eBPFBCC等基本概念
eydwyz的专栏
08-13 4492
Linux内核观测技术BP https://www.lijiaocn.com/%E6%8A%80%E5%B7%A7/2019/02/25/ebpf-introduction-1.html 目录 目录 说明 BPF eBPF带来的新变化 eBPF使用 升级内核 eBPF代码示例 eBPF代码编译装载 使用BCC简化eBPF应用开发过程 BCC安装 BCC收集的eBPF应用 参考 说明 eBPF是kernel 3.15中引入的全新设计,将原先的BPF发展成一个指.
1.4 Android下使能eBPF
从0到1,突破自己
05-31 919
由于eBPF可运行用户提供的eBPF程序来扩展内核,这些程序可以附加到内核中的探测点或事件,用于收集有用的内核统计信息,监控和调试。eBPF使用bpf(2)系统调用加载到内核中,并作为eBPF机器指令的二进制块由用户来提供。Android构建系统支持使用本文所述的build文件语法将C程序编译为eBPF程序。并且Android包含了一个eBPF加载器和库,这样Android可以在启动初始化阶段加载eBPF程序。
宋宝华:用eBPF/bcc分析系统性能的一个简单案例
宋宝华
12-25 5441
bcceBPF的一种前端,当然这个前端特别地简单好用。可以直接在python里面嵌入通过C语言写的BPF程序,并帮忙产生BPF bytecode和load进入kernel挂载kprob...
BCC介绍
phmatthaus的专栏
09-20 453
本文对于BCC进行了介绍,也对与之相关的eBPF进行了简介。
Android如何使用ebpf
03-27
eBPF(extended Berkeley Packet Filter)是一种内核级别的虚拟机技术,可以在内核空间中执行代码,用于网络包过滤、性能分析、安全审计等方面。在Android中,可以使用eBPF来实现网络性能分析和安全审计等功能。 以下是在Android上使用eBPF的步骤: 1. 确认内核版本和配置 eBPF需要Linux内核版本3.18或更高版本,并且需要启用CONFIG_BPF和CONFIG_BPF_SYSCALL内核配置选项。在Android中,可以使用以下命令来查看内核版本和内核配置: ``` $ adb shell uname -r $ adb shell cat /proc/config.gz | gunzip | grep CONFIG_BPF ``` 2. 安装内核头文件 为了编写和编译eBPF程序,需要安装内核头文件。在Android中,可以使用以下命令安装内核头文件: ``` $ adb shell su -c "apt-get update && apt-get install linux-headers-$(uname -r)" ``` 3. 编写eBPF程序 eBPF程序可以使用C语言编写,然后使用LLVM编译器编译成eBPF字节码。在Android中,可以使用以下命令编写和编译eBPF程序: ``` $ adb shell su -c "echo '#include <linux/bpf.h>\nint main() { return 0; }' > test.c" $ adb shell su -c "clang -O2 -target bpf -c test.c -o test.elf" ``` 4. 加载eBPF程序 在Android中,可以使用BCC(BPF Compiler Collection)工具来加载和运行eBPF程序。BCC是一个开源的工具集,可以方便地编写和调试eBPF程序。 首先需要在设备上安装BCC工具。在Android中,可以使用以下命令安装BCC: ``` $ adb shell su -c "apt-get update && apt-get install bpfcc-tools" ``` 然后可以使用以下命令来加载eBPF程序: ``` $ adb shell su -c "bpftool prog load test.elf /sys/fs/bpf/test" ``` 其中,test.elf是编译后的eBPF程序文件,/sys/fs/bpf/test是eBPF程序的挂载点。 5. 运行eBPF程序 加载eBPF程序后,可以使用BCC工具来运行和调试eBPF程序。例如,可以使用以下命令来查看eBPF程序的统计信息: ``` $ adb shell su -c "bpfcc-run -p $(pidof myapp) test.c" ``` 其中,myapp是需要监控的应用程序的进程名。此命令将在myapp进程的上下文中运行eBPF程序,并输出统计信息。 以上是在Android上使用eBPF的基本步骤。需要注意的是,eBPF程序可能会影响系统性能和稳定性,因此应该谨慎使用。同时,还需要遵守相关的法律和政策规定,以确保eBPF程序的合法性和安全性。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值