ebpf 程序demo

最新推荐文章于 2024-03-31 17:18:43 发布
最新推荐文章于 2024-03-31 17:18:43 发布
阅读量527 收藏
点赞数
分类专栏: EBPF 文章标签: linux Powered by 金山文档
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zhaoyangjian724/article/details/129504365
版权

^Cscan@scan-virtual-machine:~/ebpf$ cat trace_open.c

// ?????

#include <uapi/linux/openat2.h>

#include <linux/sched.h>

// ??????

struct data_t {

u32 pid;

u64 ts;

char comm[TASK_COMM_LEN];

char fname[NAME_MAX];

};

// ????????

BPF_PERF_OUTPUT(events);

// ??kprobe????

int hello_world(struct pt_regs *ctx, int dfd, const char __user * filename, struct open_how *how)

{

struct data_t data = { };

// ??PID???

data.pid = bpf_get_current_pid_tgid();

data.ts = bpf_ktime_get_ns();

// ?????

if (bpf_get_current_comm(&data.comm, sizeof(data.comm)) == 0)

{

bpf_probe_read(&data.fname, sizeof(data.fname), (void *)filename);

}

// ??????

events.perf_submit(ctx, &data, sizeof(data));

return 0;

}

scan@scan-virtual-machine:~/ebpf$ cat trace_open.py

#!/usr/bin/env python3

# Tracing openat2() system call.

from bcc import BPF

from bcc.utils import printb

# 1) load BPF program

b = BPF(src_file="trace_open.c")

b.attach_kprobe(event="do_sys_openat2", fn_name="hello_world")

# 2) print header

print("%-18s %-16s %-6s %-16s" % ("TIME(s)", "COMM", "PID", "FILE"))

# 3) define the callback for perf event

start = 0

def print_event(cpu, data, size):

global start

event = b["events"].event(data)

if start == 0:

start = event.ts

time_s = (float(event.ts - start)) / 1000000000

printb(b"%-18.9f %-16s %-6d %-16s" % (time_s, event.comm, event.pid, event.fname))

# 4) loop with callback to print_event

b["events"].open_perf_buffer(print_event)

while 1:

try:

b.perf_buffer_poll()

except KeyboardInterrupt:

exit()

scan@scan-virtual-machine:~/ebpf$ sudo python3 trace_open.py

scan724
关注
专栏目录
3.6 Android gpu_mem ebpf程序设计原理(二)
从0到1,突破自己
10-14 459
本篇我们继续以gpu_mem为例详细拆解eBPF程序组成。
Android pixel6编译eBPF程序隐藏进程学习
学习记录
08-22 245
eBPF学习,环境是在pixel6上面。之前隐藏进程的程序会导致手机卡死。今天再次去看资料的时候发现:https://github.com/eunomia-bpf/bpf-developer-tutorial 在这个GitHub项目中也有一个进程隐藏的案例,继续学习学习。下面的代码中包括了官方注释和一些自己理解的笔记,如果有错误,欢迎评论区讨论。
eBPF系列学习(3)-使用BCC开发eBPF程序\BCC bpf maps使用demo
西京刀客
06-08 642
BCC(BPF Compiler Collection)这个社区项目开始于 2015 年,差不多在内核中支持了 eBPF 的特性之后,BCC 这个项目就开始了。BCC 的目标就是提供一个工具链,用于编写、编译还有内核加载 eBPF 程序,同时 BCC 也提供了大量的 eBPF 的工具程序,这些程序能够帮我们做 Linux 的性能分析和跟踪调试。...............
Linux未来监控tracing框架——eBPF
badman250的专栏
05-07 2491
eBPF源于早年间的成型于 BSD 之上的传统技术 BPF(Berkeley Packet Filter)。BPF 的全称是 Berkeley Packet Filter,顾名思义,这是一个用于过滤(filter)网络报文(packet)的架构。BPF 是在 1997 年首次被引入 Linux 的,Linux 内核中的报文过滤机制其实是有自己的名字的:Linux Socket Filter,简称 ...
ebpf入门---监听所有新进程
azraelxuemo的博客
03-08 533
eBPF 全称 extended Berkeley Packet Filter,中文意思是 扩展的伯克利包过滤器。一般来说,要向内核添加新功能,需要修改内核源代码或者编写 内核模块 来实现。而 eBPF 允许程序在不修改内核源代码,或添加额外的内核模块情况下运行。
ebpf c 学习
qq_32783703的博客
11-13 3022
前段时间开始学习ebpf,今晚上整理下来吧,马上12点了,整理晚睡觉,写下笔记感觉整个人都平静下来 做笔记的视频是linux内核社区的那群大学生的视频真的不错: BPF C编程入门_哔哩哔哩_bilibili ebpf的官网: eBPF - Introduction, Tutorials & Community Resources ebpfdemo 其实在linux 内核源码里有很多例子,对我们学习内核知识是非常好的,遇到不会的知识点可以去看linux 内核的设计核实现^_^。
eBPF学习笔记(一)—— eBPF介绍&内核编译
qq_41988448的博客
11-11 3619
本篇将介绍eBPF技术,以及如何编译高版本Linux内核源码中的eBPF示例代码并用其编写自定义例程。
ebpf_exporter:Prometheus导出程序,用于自定义eBPF指标
05-06
在此循环中,更有趣的功能之一是能够将eBPF程序(由内核执行的用户定义的沙盒字节码)附加到kprobes。 这样就可以在实时内核映像上进行用户定义的检测,而该映像永远不会崩溃,挂起或对内核产生负面影响。 关于此...
在 WebAssembly 中使用 C/C++ 和 libbpf 编写 eBPF 程序
云微的blog
02-12 1016
本以 C/C++ 语言为例,讨论了如何使用 C/C++ 编写 eBPF 程序并编译为 Wasm 模块。在下一篇文章中,我们会讨论使用 Rust 编写 eBPF 程序并编译为 Wasm 模块,并使用 OCI 镜像发布、部署、管理 eBPF 程序,获得类似 Docker 的体验。接下来,我们也会继续完善在 Wasm 中使用多种语言开发和运行 eBPF 程序的体验,提供更完善的示例和用户态开发库/工具链,以及更具体的应用场景。
eBPF/sockmap实现socket转发offload
热门推荐
Netfilter
12-25 1万+
我们已经对eBPF将网络转发offload到XDP(eXpress Data Path)耳熟能详,作为Linux内核的一把 “瑞士军刀” ,eBPF能做的事情可不止一件,它是一个多面手。 socket数据offload问题 通过代理服务器在两个TCP接连之间转发数据是一个非常常见的需求,特别是在CDN的场景下,然而这个代理服务器也是整条路径中的瓶颈之所在,代理服务器的七层转发行为极大地消耗着单机性...
bcc学习总结一
lindorx的博客
01-08 2843
基本结构 #导入库 from bcc import BPF #使用BPF()执行bpf代码 BPF(text=""" #C语言代码段 """ ) #对bpf的处理代码 C语言代码编写 不需要写main函数,目前知道可以写两种函数,以“kprobe__”开头的函数和自定义函数。bpf函数至少要包含一个参数“ctx”,即使不使用也应该存在,可以声明为“void *ctx”。 以“kprobe__”开头的函数,其余的名称部分表示要检测的函数,比如“kprobe__sys_clone”,表示要检测的函数是“
Linux驱动程序记录时间差的方法--jiffies和do_gettimeofday()区别。
Milicat Blog
10-22 2251
Linux驱动程序记录时间差的方法 常用的Linux内核空间记录一个事务的时间差有两种方法–使用jiffies变量和do_gettimeofday()函数。这两天接到一个测量PCIe总线带宽的任务,使用芯片自带的PCIe 内部DMA读取PCIe地址空间的数据以测量PCIe的总线带宽,使用了两种测量DMA启动到DMA传输完成的时间差。 1. jiffies记录时间差的特点 使用jiffies较为...
ebpf的bootstrap代码介绍+运行情况,代码层代码和用户层代码的源码介绍+语法解释
最新发布
m0_74206992的博客
03-31 1128
ebpf的bootstrap的介绍+运行情况,代码层代码和用户层代码的源码介绍+语法解释
eBPF监控工具bcc系列八BPF C
weixin_34409822的博客
05-09 2404
在之前的bcc代码中我们知道其程序是分为两部分的,一部分是C语言,另一部分是基于Python的。本篇是关于C语言部分的。 1. 事件和参数 1.1 kprobes 使用kprobe的语法是: kprobe__kernel_function_name 其中kprobe__是前缀,用于给内核函数创建一个kprobe(内核函数调用的动态跟...
使用 Go 语言开发 eBPF 程序
云原生实验室
04-13 3711
在 Introduction to eBPF[1] 这篇文章中介绍了基于内核源码开发并加载 eBPF 代码的过程。本文将介绍基于 Go 和对应的库开发 eBPF 程序,文中所有涉及的代码可以在我的 Github[2] 中找到。选择 eBPF 库当涉及到选择库和工具来与 eBPF 进行交互时,会让人有所困惑。在选择时,你必须在基于 Python 的 BCC[3] 框架、基于...
运行第一个 bpf 程序
龙瑜的博客
11-21 7439
上手 ebpf 一直想学习一下 ebpf 这个东东,最近买了本《Linux 内核观测技术 BPF》,准 备系统的研究一下。 原以为有了书之后学起来就相当轻松了,可以我发现书上的第一个例子就编译不 过。 书上只给了部分的源码,还需要去下载配套的 github 项目,这也没啥关系,不过下 载后编译也是编译不过。 编译不过的报错也不过是 types.h 头文件找不到,解决了头文件找不到的问题 后发现又有新的问题。 网上搜索了下发现基本上都是在介绍 ebpf xxx,没有看到一篇讲如何上手 ebpf, 只能自己搞搞
基于eBPF的云原生可观测性开源项目Kindling之慢系统调用
eBPF_Kindling的博客
08-03 210
Kindling通过eBPF技术和内核提供的系统调用tracepoint捕获了所有的系统调用数据,然后把系统调用与线程信息做了关联,并在用户空间对系统调用的enter和exit进行了latency的计算以判断是否为慢系统调用。...
eBPF初体验
chensong_2000的博客
08-13 1665
eBPF(aka extended berkeley package filter)是最近比较热门的内核调试方法和工具。 我个人目前还是更喜欢用trace-cmd+ftrace来调试内核的问题,但ebpf据说是可以更加灵活的设置调试信息。ebpf的原理是使用tracepoint静态监测点和kprobe动态监测点来对内核进行函数级别的监测,可以监测内核运行的代码流是否正确,更可以监控内核运行的效率。 我在github上fork了一份bcc(https://github.com/iovisor/bcc)的代
eBPF Tracing 入门教程与实例
weixin_34270865的博客
05-28 1158
在 LPC'18(Linux Plumber's conference) 会议上,至少有24个关于 eBPF 的演讲。 eBPF 这一实用技术,将是每个开发者需要掌握的技巧。 也许你的新年目标得再多一个了:学习 eBPFeBPF 的名称源于 extended Berkeley Packet Filter,如果从 eBPF 的功能来说,类似 Virtual Kernel Instruction S...
抖音小程序 demo
09-07
抖音小程序 demo 是一款基于抖音平台的小程序示例,可以让开发者在抖音平台上开发自己的小程序应用。 抖音小程序 demo 提供了丰富的功能和接口,开发者可以使用抖音小程序开发工具进行开发,使用抖音小程序 API ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

scan724

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值