一、BCC简介
1、BCC简介
BCC是一个Python库,简化了eBPF应用的开发过程,并收集了大量性能分析相关的eBPF应用。BCC为BPF开发提供了不同的前端支持,包括Python和Lua,实现了map创建、代码编译、解析、注入等操作,使开发人员只需聚焦于用C语言开发要注入的内核代码。
BCC工具集大部分工具需要Linux Kernel 4.1以上版本支持,完整工具支持需要Linux Kernel 4.15以上版本支持。
GitHub:https://github.com/iovisor/bcc
2、BCC安装
yum install bcc-tools
export PATH=$PATH:/usr/share/bcc/tools
二、常用命令工具
1、opensnoop
opensnoop通过追踪open()系统调用显示企图打开文件的进程,可以用于定位配置文件或日志文件,或排除启动失败的故障应用。
opensnoop通过动态追踪sys_open()内核函数并更新函数的任何变化,opensnoop需要Linux Kernel 4.5版本支持,由于使用BPF,因此需要root权限。
opensnoop [-h] [-T] [-U] [-x] [-p PID] [-t TID] [-u UID] [-d DURATION] [-n NAME] [-e] [-f FLAG_FILTER]
-h, --help:帮助信息查看
-T, --timestamp:输出结果打印时间戳
-U, --print-uid:打印UID
-x, --failed:只显示失败open系统调用
-p PID, --pid PID:只追踪PID进程
-t TID, --tid TID:只追踪TID线程
-u UID, --uid UID:只追踪UID
-d DURATION, --duration DURATION:追踪时间,单位为秒
-n NAME, --name NAME:只打印包含name的进程
-e, --extended_fields:显示扩展字段
-f FLAG_FILTER, --flag_filter FLAG_FILTER:指定过滤字段,如O_WRONLY
2、execsnoop
execsnoop通过追踪exec系统调用追踪新进程,对于使用fork而不是exec产生的进程不会包括在显示结果中。
execsnoop需要BPF支持,因此需要root权限。
execsnoop [-h] [-T] [-t] [-x] [-q] [-n NAME] [-l LINE] [--max-args MAX_ARGS]
-h:查看帮助信息
-T:打印时间戳,格式HH:MM:SS
-t:打印时间戳
-x:包括失败exec
-n NAME:只打印正则表达式匹配name的命令行
-l LINE:只打印参数中匹配LINE的命令行
--max-args MAXARGS:解析和显示最大参数数量,默认为20个
3、biolatency
biolatency通过追踪块设备IO,记录IO延迟分布,并以直方图显示。biolatency通过动态追踪blk_族函数并记录函数的变化。
biolatency需要BPF支持,因此需要root权限。
biolatency [-h] [-F] [-T] [-Q] [-m] [-D] [interval [count]]
-h Print usage message.
-T:输出包含时间戳
-m:输出ms级直方图
-D:打印每个磁盘设备的直方图
-F:打印每个IO集的直方图
interval:输出间隔
count:输出数量
4、ext4slower
ext4slower通过跟踪ext4文件系统的read、write、open、sync操作,并测量相应操作所耗时间,打印超过阈值的详细信息。默认阈值最小值是10ms,如果阈值为0,则打印所有事件。
ext4slower需要BPF支持,因此需要root权限。
ext4slower可以通过文件系统识别独立较慢的磁盘IO。
ext4slower [-h] [-j] [-p PID] [min_ms]
-h, --help:查看帮助信息
-j, --csv:使用csv格式打印字段
-p PID, --pid PID:只追踪PID进程
min_ms:追踪IO的阈值,默认为10。