eBPF监控工具bcc系列三自定义工具trace

最新推荐文章于 2024-05-30 07:32:10 发布
最新推荐文章于 2024-05-30 07:32:10 发布
阅读量375 收藏 1
点赞数
文章标签: python ruby 数据结构与算法
原文链接:https://yq.aliyun.com/articles/590867
版权


上篇中是通用的直接可用工具。

  trace工具可以指定跟踪函数并显示,可控制其输出格式来显示函数参数和返回值。

例如跟踪文件拥有者的属性更改,也就是跟踪三个文件系统调用chown,fchown,lchown。使用如下:

trace.py    'p::SyS_chown "file = %s, to_uid = %d, to_gid = %d, from_uid = %d", arg1, arg2, arg3, $uid'    'p::SyS_fchown "fd = %d, to_uid = %d, to_gid = %d, from_uid = %d", arg1, arg2, arg3, $uid'    'p::SyS_lchown "file = %s, to_uid = %d, to_gid = %d, from_uid = %d", arg1, arg2, arg3, $uid'

例如跟踪非主动上下文切换。

trace.py -p 1134138 't:sched:sched_switch (args->prev_state == TASK_STATE_MAX || args->prev_state == 0)'

跟踪系统中所有exec调用

# trace 'sys_execve "%s", arg1'

其中sys_execve是内核函数,%s表示打印字符串,这个被复制为arg1就是程序的入参。

例如跟踪系统读操作read,所读大小大于20000(这个参数可以通过man read查看是在第三个位置上),所以跟踪函数如下:

trace 'sys_read (arg3 > 20000) "read %d bytes", arg3'

还可以跟踪用户层函数,例如跟踪bash上readline脚本,并输出返回值,可以如下书写

trace 'r:bash:readline "%s", retval'

其中r表示retprobe是返回探针。

跟踪读写失败的命令

trace 'r:c:read ((int)retval < 0) "read failed: %d", retval' 'r:c:write ((int)retval < 0) "write failed: %d", retval' -T

1.   内核tracepoints

还可以跟踪内核的tracepoints,例如跟踪block:block_rq_complete的tracepoint,并打印多少扇区被传输。

trace 't:block:block_rq_complete "sectors=%d", args->nr_sector' -T

如果不清楚跟踪点的数据结构格式,可以使用tplist工具来获得,例如

tplist -v block:block_rq_complete

得到数据结构后就可以用做参数来获取nr_sector了。

2.   第三方库

越来越多高级库支持探针,就像内核tracepoint一样可以用来被跟踪。

例如跟踪pthread_create函数

trace 'u:pthread:pthread_create "%U", arg3' -T -C

            其中%U表示将arg3解析成用户层符号。同样,内核的是%K.

            现在Ruby,Node,OpenJDK都支持。

跟踪ruby示例:

trace 'u:ruby:method__entry "%s.%s", arg1, arg2' -p $(pidof irb) -T

跟踪共享库函数如下:

trace.py 'r:/usr/lib64/libtinfo.so:curses_version "Version=%s", retval'

 

3.   高级过滤

跟踪open,同时指出其打开的文件名字为test.txt

trace 'p:c:open (STRCMP("test.txt", arg1)) "opening %s", arg1' -T

trace 'p::SyS_nanosleep(struct timespec *ts) "sleep for %lld ns", ts->tv_nsec'

跟踪指定进程的指定函数,使用-p参数,如下:

trace -p 2740 'do_sys_open "%s", arg2' -T

 

 

 

weixin_34072857
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
5.34 BCC工具trace.py解读
从0到1,突破自己
02-29 191
trace工具可以指定跟踪函数并显示,可控制其输出格式来显示函数参数和返回值。
bcc trace
sunshineywz的博客
06-18 291
BCC – Dynamic Tracing Tools for Linux Performance Monitoring
Linux阅码场
11-19 825
BPF CompilerCollection (BCC)这个工具集包含很多用来观测内核性能的工具,全部使用eBPF,并且提供了python的外部编程能力。本文前序文章: 张亦鸣: eBPF 简史 本文转载自: https://www.tecmint.com/bcc-best-linux-performance-monitoring-tools/ 关注Linuxer,订阅源源不断的
eBPF开发工具
haigand的专栏
04-25 208
有几个开发工具链可以帮助开发和管理eBPF程序。
自定义TRACE函数,用于向Output Window、控制台和文件输出Log
tianyu的专栏 - Linux site:blog.csdn.net/wishfly
09-02 954
自己写了一个Multi-Byte和UNICODE两个版本的TRACE函数。 [cpp] view plaincopy #include    #include    #define BUFSIZE_MAX 1024      #ifdef _DEBUG   #ifdef UNICODE   static void MYTRACE(wchar_
ebpf的快速开发工具--libbpf-bootstrap
Rice开发经验分享
10-16 203
libbpf-bootstrap是一个开源项目,旨在帮助开发者快速启动和开发使用eBPF(Extended Berkeley Packet Filter)和libbpf的程序。eBPF是一种可以在Linux内核中运行的程序,提供了强大的网络过滤、系统调用监控和性能分析等功能。libbpf是一个库,用于加载和管理eBPF程序和map。libbpf-bootstrap提供了一些样例程序和模板,帮助开发者理解如何使用libbpf创建、加载、管理eBPF程序,并与这些程序进行交互。
BCC校验计算工具
09-13
BCC校验计算工具,双击即可打开,输入参数点击计算即可得到BCC校验结果,程序测试非常方便好用
bcc bcc.exe 魔兽地图jass校验工具
12-29
war3使用bcc验证地图里的jass文件,bcc是排错验证,相同bcc验算值的jass文件就可互通(进主机不用下图) 使用方法: 1. 导出原版地图和作弊地图的J文件。(要是你连这都不会就算了) 2.把BCC.exe和导出来的J...
vltrace:使用eBPF linux内核功能以快速方式跟踪系统调用的工具
05-19
vltrace是一个系统调用跟踪工具,它利用eBPF(Linux内核的有效跟踪功能)。执照请参阅文件以获取有关此工具如何获得的信息。依赖vltrace取决于库。 libbcc的安装指南可以在找到。系统要求内核v4.7或更高版本 安装的...
BCC check 校验工具
11-24
适用于不同设备之间的相关通信时,BBC校验,对相关数据进行校验
dotnet-BCCSpliter用于从BCC发送拆分BTC的命令行工具
08-14
BCCSpliter 用于从BCC发送拆分BTC的命令行工具
eBPF学习笔记(二)—— eBPF开发工具
qq_41988448的博客
11-14 2407
本篇记录对bpftraceBCC、libbpf等eBPF常用开发工具的基本使用。
eBPF系列学习(2)-eBPF工具BCC、bpftrace(文件相关操作跟踪点整理)\BCC和bpftrace 对比以及libbpf
西京刀客
08-27 1356
IO Visor 项目开源的 BCC、 BPFTraceBCC 提供了更高阶的抽象,可以让用户采用 Python、C++ 和 Lua 等高级语言快速开发 BPF 程序;BPFTrace 采用类似于 awk 语言快速编写 eBPF 程序;
结合 Wasm 的 eBPF 极简开发工具介绍:eunomia-bpf
云微的blog
09-07 2000
对比 Web 的发展,eBPF 与内核的关系有点类似于 JavaScript 与浏览器内核的关系。eunomia-bpf 是一套编译工具链和运行时,以及一些附加项目,我们希望做到让 eBPF 程序真正像 JavaScript 或者 WASM 那样易于分发和运行,或者说内核态或可观测性层面的 FaaS:eBPF 即服务。
TripleCross:一款功能强大的Linux eBPF安全研究工具
FreeBuf_的博客
12-08 354
TripleCross是一款功能强大的LinuxeBPF安全研究工具,该工具提供了后门、C2、代码库注入、执行劫持、持久化和隐蔽执行等功能。
eBPF 入门开发实践指南一:介绍 eBPF 的基本概念、常见的开发工具
云微的blog
01-23 1360
Linux内核一直是实现监控/可观测性、网络和安全功能的理想地方,但是直接在内核中进行监控并不是一个容易的事情。在传统的Linux软件开发中,实现这些功能往往都离不开修改内核源码或加载内核模块。修改内核源码是一件非常危险的行为,稍有不慎可能便会导致系统崩溃,并且每次检验修改的代码都需要重新编译内核,耗时耗力。
如何mysql数据导入到mongdb
最新发布
codemami的博客
05-30 1171
由于MySQL和MongoDB的数据模型不同(例如,MySQL使用关系模型,而MongoDB使用文档模型),你可能需要转换数据的格式。使用MongoDB驱动程序:你也可以使用MongoDB的官方驱动程序(如Python的pymongo)来编写脚本,将数据直接插入到MongoDB中。注意:如果你的JSON文件包含多个文档,并且它们不是作为数组的一部分(即每个文档都在其自己的行上),则需要使用--jsonArray选项。手动转换:对于小型数据集,你可以手动编辑SQL或CSV文件,将其转换为JSON格式。
Pandas03
Bianca427的博客
05-27 1551
聚合计算时新增一列计算最大值与平均值的差值df.groupby('district').agg(最低工资=('salary', 'min'), 最高工资=('salary', 'max'), 平均工资=('salary', 'mean'), 最大值与均值差值=('salary', myfunc)).rename_axis(["行政区"])
深入理解Python中None和““的区别
m0_54701273的博客
05-27 985
Python的世界里,None和空字符串""经常被用作默认值或用于表示缺省值的情况。尽管它们在某些语境下似乎可互换,但实际上None和""在Python中有着根本的区别。
eBPF python
08-29
eBPF python是一个框架,允许用户编写使用eBPF程序嵌入其中的Python程序。这个框架主要用于应用程序和系统分析/跟踪的场景,其中eBPF程序用于收集统计信息或生成事件,而用户空间中的对应部分则负责收集数据并以人类可读的形式进行显示。运行Python程序会生成eBPF字节码并将其加载到内核中。 在Python中使用eBPF的高级封装BCC来开发eBPF程序的步骤如下: 1. 首先,通过导入BCC库来使用它提供的功能。 2. 使用BPF类加载eBPF程序。 3. 使用attach_kprobe方法将BPF程序挂载到内核的探针上。 4. 使用trace_print方法读取内核调试文件的内容并打印到标准输出中。 在另一个例子中,也是使用BCC库来开发eBPF程序的步骤如下: 1. 导入BCC库。 2. 加载eBPF程序。 3. 使用attach_kprobe方法将BPF程序挂载到内核的探针上。 4. 使用trace_print方法读取内核调试文件的内容并打印到标准输出中。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *3* [eBPF学习笔记(二)—— eBPF开发工具](https://blog.csdn.net/qq_41988448/article/details/127813132)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] - *2* [eBPF学习 - 入门](https://blog.csdn.net/hzb869168467/article/details/124239015)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值