eBPF监控工具bcc系列八BPF C

最新推荐文章于 2024-04-29 14:04:32 发布
最新推荐文章于 2024-04-29 14:04:32 发布
阅读量2.3k 收藏 9
点赞数 1
文章标签: python c/c++
原文链接:https://yq.aliyun.com/articles/591413
版权


在之前的bcc代码中我们知道其程序是分为两部分的,一部分是C语言,另一部分是基于Python的。本篇是关于C语言部分的。

1.   事件和参数

1.1     kprobes

使用kprobe的语法是:

kprobe__kernel_function_name

其中kprobe__是前缀,用于给内核函数创建一个kprobe(内核函数调用的动态跟踪)。也可通过C语言函数定义一个C函数,然后使用python的BPF.attach_kprobe()来关联到内核函数。

            例如:

int kprobe__tcp_v4_connect(struct pt_regs *ctx, struct sock *sk)

            其中参数struct pt_regs *ctx是寄存器和BPF文件

            sock *sk是tcp_v4_connect的第一个参数。

1.2     kretprobes

kretprobes动态跟踪内核函数的返回,语法如下:

kretprobe__kernel_function_name,前缀是kretprobe__。也可以使用python的BPF.attach_kretprobe()来关联C函数到内核函数。

            例如:

int kretprobe__tcp_v4_connect(struct pt_regs *ctx)

{     int ret = PT_REGS_RC(ctx);     [...]

}

            返回值保存在ret中。

1.3     Tracepoints

语法如下:TRACEPOINT_PROBE(category,event)

TRACEPOINT_PROBE是一个宏, tracepiont定义的方式是categroy:event,

            可以的参数是通过结构体args获取的,获取参数相关格式的方法是cat文件:

/sys/kernel/debug/tracing/events/category/event/format

            结构体args可以在函数中使用例如:

TRACEPOINT_PROBE(random, urandom_read) {    

// args is from /sys/kernel/debug/tracing/events/random/urandom_read/format     bpf_trace_printk("%d\\n", args->got_bits);     return 0;

}

1.4     uprobes

通过python的BPF.attach_uprobe()可以将普通C函数关联到uprobe探针。

参数可以通过PT_REGS_PARM宏来检测。

            程序本身名字使用宏PT_REGS_PARM1,第一个参数使用宏PT_REGS_PARM2。

 

1.5     uretprobes

同uprobes,只不过该探针是在函数返回时候触发。

     返回的值通过PT_REGS_RC(ctx)获取,例如:

BPF_HISTOGRAM(dist); int count(struct pt_regs *ctx) {     dist.increment(PT_REGS_RC(ctx));     return 0;

}

在直方图dist中,根据增加返回键对应的值。

1.6     USDT probes

User Statically-Defined Tracing用户静态定义的探针,会在应用和库中定义用来提供用户级别追踪。BPF中提供对USDT的支持方法是enable_probe。

使用方法同其他probes,定义C函数,然后通过USDT.enable_probe()来关联USDT probe。

            参数可以通过bpf_usdt_readarg(index,ctx,&addr)来读取。

            例如:

int

最低0.47元/天 解锁文章
weixin_34409822
关注
  • 1
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
2.10 Android ebpf帮助函数解读(九)
从0到1,突破自己
07-29 554
帮助函数的介绍是根据其引入内核的时间来排序介绍的,从前面包括本篇博客的介绍我们可以看到bpf最初的设计就是为网络而生的。
使用 libbpf-bootstrap 编写eBPF程序
撸大师的博客
12-22 878
3.只编写内核态代码的时候,使用 JSON 即可完成分发、加载、打包的过程,对于完整的、需要用户态和内核态进行交互的 eBPF 应用或工具,可以在 WASM 中编写复杂的用户态处理程序进行控制和处理,并且将编译好的 eBPF 字节码嵌入在 WASM 模块中一同分发,在目标机器上动态加载运行。2.基于 libbpf一次编译处处运行的特性,将用户态、内核态的编译和运行的完全分离,通过标准 JSON 或 WASM模块的方式进行分发,无需进行重新编译,应用启动占用资源少,时间短,甚至容器启动更短。
libbpf-bootstrap开发指南:使用ringbuf 进行通信 - bootstrap
阿呆的隐秘角落
07-15 789
做全网最好的libbpf-bootstrap开发指南
BPF学习笔记(七)-- 静态跟踪点tracepoint
frankzfz的专栏
01-01 591
通过对内核中相关的文件进行分析, 在kernel/bpf/syscall.c文件中,我们可以看到其中提交的一个commit,去掉对bpf_prog_load的tracepoint,使用git show 4d220ed 显示下面的信息。》中第4章节中的案例中,有一个tracepoint bpf_prog_load的实例,在我自己的云主机上,执行不通过。通过上面的查看,是在内核4.18之后的内核删除了。上面的程序在bpf_prog_load的函数中添加一个添加一个tracepoint点。
深入理解Linux调试工具eBPF和strace、内存泄漏处理、Kubernetes容器调试以及C++协程的崩溃信息收集
最新发布
hacker707的博客
04-29 1万+
在软件开发领域,无论是初级开发者还是资深工程师,都需要面对复杂的调试工作。本文将介绍几个重要的调试工具和技术,并提供实际调试方法的指导,包括Linux环境下的eBPF和strace,内存泄漏问题的处理,Kubernetes容器环境下的调试技巧,以及C++20协程中的崩溃信息收集策略
内核和用户空间中的TID,GID, PID,uid
weixin_45485072的博客
09-24 657
当程序被绑定到对某个内核函数调用时,就可以使用它们。UID/GID应该比较明确,但对于那些以前没有接触过内核操作细节的人来说,还是需要解释一下。类似的,bpf_get_current_comm()返回的不是通常的进程名(可以通过ps命令查看),而是线程名。要获取关于eBPF中的进程信息,可以使用以下函数: bpf_get_current_pid_tgid()、
ebpf中的bpf_probe_read_kernel和pt_regs
qq_44927248的博客
10-21 1739
ebpf中的pt_regs以及相关函数作一定解释
cpp-BCC基于BPF的LinuxIO分析网络监控工具
08-16
BCC - 基于BPF的Linux IO分析,网络,监控工具
vltrace:使用eBPF linux内核功能以快速方式跟踪系统调用的工具
05-19
安装的内核头文件: RHEL,Fedora和CentOS上的“内核开发”软件包或Debian和Ubuntu上的'linux-headers'软件包libbcc v0.4.0 CAP_SYS_ADMIN功能(bpf()系统调用所需) 挂载的debugfs和tracefs联系方式有关此工具的...
bpftrace:Linux eBPF的高级跟踪语言
02-18
bpftrace使用LLVM作为后端将脚本编译为BPF字节码,并利用与Linux BPF系统进行交互以及现有Linux跟踪功能:内核动态跟踪(kprobes),用户级动态跟踪(uprobes),和跟踪点。 bpftrace语言受awk和C以及DTrace和...
BCC校验计算工具
09-13
BCC校验计算工具,双击即可打开,输入参数点击计算即可得到BCC校验结果,程序测试非常方便好用
bccBCC-用于基于BPFLinux IO分析,联网,监视等工具
02-07
BCC借助C中的内核工具(包括围绕LLVM的C包装器)以及Python和lua的前端,使BPF程序更易于编写。 它适用于许多任务,包括性能分析和网络流量控制。屏幕截图本示例跟踪磁盘I / O内核功能,并填充I / O大小的内核内2幂...
BPF 之路:技术背景
阿呆的隐秘角落
03-28 1180
BPF 之路
bcc:调用栈采集的学习和使用
BuildUp
09-21 775
栈的ebpf
BCC Python开发教程&常用BCC工具(四)
hudongliang2006nb的专栏
11-15 644
这个教程主要目的是展示如何使用python来进行bcc工具开发和编程。教程主要分为两个部分:可观察性和网络。文中的代码片段均都来自于bcc:代码片段的licenses见bcc中具体文件。也可参考bcc开发者手册以及end-users工具教程:。此外bcc还开放有lua接口。
eBPF BCC 实现UNIX socket抓包
RToax
08-27 1548
在之前,我写了一个《eBPF bpftrace 实现个UNIX socket抓包试试》,但是很受限啊,不能完整打印包数据信息,今天又写了一个BCC的,感觉没问题了。 不多说,直接上代码: #!/usr/bin/python # @lint-avoid-python-3-compatibility-imports # # undump Dump UNIX socket packets. # For Linux, uses BCC, eBPF. Embedded
BPF性能分析之CPU篇
大吉
05-05 1761
BPF工具 BPF中用于分析CPU性能问题的工具如下图所示。 CPU分析命令清单 命令 来源 分析对象 描述 适用场景 execsnoop BCC/BT 调度 列出新进程的运行信息 追踪高频出现、消耗资源的短期间进程 exitsnoop BCC 调度 列出进程运行时长和退出的原因 协助调试短时进程的问题,从退出的角度定位问题 runqlat BCC/BT 调度 统计CPU运行队列的延迟信息 当CPU资源处于饱和状态时,识别和量化问题的严重性 runqlen BCC/BT 调度
ebpf的bootstrap代码介绍+运行情况,代码层代码和用户层代码的源码介绍+语法解释
m0_74206992的博客
03-31 1066
ebpf的bootstrap的介绍+运行情况,代码层代码和用户层代码的源码介绍+语法解释
基于ebpf技术的容器网络流量监控统计方法及系统
05-24
eBPF(Extended Berkeley Packet Filter)是一个内核级别的虚拟机,可以用于监控和修改内核中的网络流量。基于eBPF技术的容器网络流量监控统计方法及系统可以实现对容器网络流量进行实时监控和统计,以便于管理者对容器网络流量进行分析和优化。 具体实现可以采用以下步骤: 1. 在容器中安装eBPF工具链,包括eBPF编译器、BCCBPF Compiler Collection)等。 2. 编写eBPF程序,实现对容器网络流量的抓取和统计。可以使用BCC提供的预定义eBPF程序,也可以自行编写。 3. 将eBPF程序插入到容器的网络命名空间中,实现对容器网络流量的监控。 4. 将抓取到的网络流量数据发送给监控服务器,进行实时统计和分析。 5. 可以使用可视化工具,如Grafana等,对统计结果进行展示和分析。 这样,就可以实现对容器网络流量的实时监控和统计,方便管理者进行网络优化和故障排查。 需要注意的是,基于eBPF技术的容器网络流量监控统计方法及系统需要在容器中运行eBPF程序,因此需要一定的系统支持和安全措施,以确保系统稳定性和安全性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值