51CTO首页
AI.x社区
博客
学堂
精品班
直播训练营
企业培训
鸿蒙开发者社区
WOT技术大会
AIGC创新中国行
公众号矩阵
移动端
短视频免费课程课程排行直播课软考学堂
全部课程厂商认证IT技术2024年软考PMP项目管理软考资讯
在线学习
文章资源问答课堂专栏直播
51CTO
鸿蒙开发者社区
51CTO技术栈
51CTO官微
51CTO学堂
51CTO博客
CTO训练营
鸿蒙开发者社区订阅号
51CTO题库小程序
51CTO学堂APP
51CTO学堂企业版APP
鸿蒙开发者社区视频号
账号设置 退出

在 Fedora 中用 bpftrace 追踪代码

作者:Augusto Caringi
系统 Linux
bpftrace 是一个 基于 eBPF 的新型追踪工具,在 Fedora 28 第一次引入。这篇文章的内容涉及了 bpftrace 的一些基础,以及它是如何工作的,请继续阅读获取更多的信息和一些有用的实例。

[[414460]]

bpftrace 是一个 基于 eBPF 的新型追踪工具,在 Fedora 28 第一次引入。Brendan Gregg、Alastair Robertson 和 Matheus Marchini 在网上的一个松散的黑客团队的帮助下开发了 bpftrace。它是一个允许你分析系统在幕后正在执行的操作的追踪工具,可以告诉你代码中正在被调用的函数、传递给函数的参数、函数的调用次数等。

这篇文章的内容涉及了 bpftrace 的一些基础,以及它是如何工作的,请继续阅读获取更多的信息和一些有用的实例。

eBPF(扩展的伯克利数据包过滤器extended Berkeley Packet Filter

eBPF 是一个微型虚拟机,更确切的说是一个位于 Linux 内核中的虚拟 CPU。eBPF 可以在内核空间以一种安全可控的方式加载和运行小型程序,使得 eBPF 的使用更加安全,即使在生产环境系统中。eBPF 虚拟机有自己的指令集架构(ISA),类似于现代处理器架构的一个子集。通过这个 ISA,可以很容易将 eBPF 程序转化为真实硬件上的代码。内核即时将程序转化为主流处理器架构上的本地代码,从而提升性能。

eBPF 虚拟机允许通过编程扩展内核,目前已经有一些内核子系统使用这一新型强大的 Linux 内核功能,比如网络、安全计算、追踪等。这些子系统的主要思想是添加 eBPF 程序到特定的代码点,从而扩展原生的内核行为。

虽然 eBPF 机器语言功能强大,由于是一种底层语言,直接用于编写代码很费力,bpftrace 就是为了解决这个问题而生的。eBPF 提供了一种编写 eBPF 追踪脚本的高级语言,然后在 clang / LLVM 库的帮助下将这些脚本转化为 eBPF,最终添加到特定的代码点。

安装和快速入门

在终端 使用 sudo 执行下面的命令安装 bpftrace:

  1. $ sudo dnf install bpftrace

使用“hello world”进行实验:

  1. $ sudo bpftrace -e 'BEGIN { printf("hello world\n"); }'

注意,出于特权级的需要,你必须使用 root 运行 bpftrace,使用 -e 选项指明一个程序,构建一个所谓的“单行程序”。这个例子只会打印 “hello world”,接着等待你按下 Ctrl+C

BEGIN 是一个特殊的探针名,只在执行一开始生效一次;每次探针命中时,大括号 {} 内的操作(这个例子中只是一个 printf)都会执行。

现在让我们转向一个更有用的例子:

  1. $ sudo bpftrace -e 't:syscalls:sys_enter_execve { printf("%s called %s\n", comm, str(args->filename)); }'

这个例子打印了父进程的名字(comm)和系统中正在创建的每个新进程的名称。t:syscalls:sys_enter_execve 是一个内核追踪点,是 tracepoint:syscalls:sys_enter_execve 的简写,两种形式都可以使用。下一部分会向你展示如何列出所有可用的追踪点。

comm 是一个 bpftrace 内建指令,代表进程名;filename 是 t:syscalls:sys_enter_execve 追踪点的一个字段,这些字段可以通过 args 内建指令访问。

追踪点的所有可用字段可以通过这个命令列出:

  1. bpftrace -lv "t:syscalls:sys_enter_execve"

示例用法

列出探针

bpftrace 的一个核心概念是探针点probe point,即 eBPF 程序可以连接到的(内核或用户空间的)代码中的测量点,可以分成以下几大类:

  • kprobe——内核函数的开始处
  • kretprobe——内核函数的返回处
  • uprobe——用户级函数的开始处
  • uretprobe——用户级函数的返回处
  • tracepoint——内核静态追踪点
  • usdt——用户级静态追踪点
  • profile——基于时间的采样
  • interval——基于时间的输出
  • software——内核软件事件
  • hardware——处理器级事件

所有可用的 kprobe / kretprobetracepointssoftware 和 hardware 探针可以通过这个命令列出:

  1. $ sudo bpftrace -l

uprobe / uretprobe 和 usdt 是用户空间探针,专用于某个可执行文件。要使用这些探针,通过下文中的特殊语法。

profile 和 interval 探针以固定的时间间隔触发;固定的时间间隔不在本文的范畴内。

统计系统调用数

映射 是保存计数、统计数据和柱状图的特殊 BPF 数据类型,你可以使用映射统计每个系统调用正在被调用的次数:

  1. $ sudo bpftrace -e 't:syscalls:sys_enter_* { @[probe] = count(); }'

一些探针类型允许使用通配符匹配多个探针,你也可以使用一个逗号隔开的列表为一个操作块指明多个连接点。上面的例子中,操作块连接到了所有名称以 t:syscalls:sysenter_ 开头的追踪点,即所有可用的系统调用。

bpftrace 的内建函数 count() 统计系统调用被调用的次数;@[] 代表一个映射(一个关联数组)。该映射的键 probe 是另一个内建指令,代表完整的探针名。

这个例子中,相同的操作块连接到了每个系统调用,之后每次有系统调用被调用时,映射就会被更新,映射中和系统调用对应的项就会增加。程序终止时,自动打印出所有声明的映射。

下面的例子统计所有的系统调用,然后通过 bpftrace 过滤语法使用 PID 过滤出某个特定进程调用的系统调用:

  1. $ sudo bpftrace -e 't:syscalls:sys_enter_* / pid == 1234 / { @[probe] = count(); }'

进程写的字节数

让我们使用上面的概念分析每个进程正在写的字节数:

  1. $ sudo bpftrace -e 't:syscalls:sys_exit_write /args->ret > 0/ { @[comm] = sum(args->ret); }'

bpftrace 连接操作块到写系统调用的返回探针(t:syscalls:sys_exit_write),然后使用过滤器丢掉代表错误代码的负值(/arg->ret > 0/)。

映射的键 comm 代表调用系统调用的进程名;内建函数 sum() 累计每个映射项或进程写的字节数;args 是一个 bpftrace 内建指令,用于访问追踪点的参数和返回值。如果执行成功,write 系统调用返回写的字节数,arg->ret 用于访问这个字节数。

进程的读取大小分布(柱状图):

bpftrace 支持创建柱状图。让我们分析一个创建进程的 read 大小分布的柱状图的例子:

  1. $ sudo bpftrace -e 't:syscalls:sys_exit_read { @[comm] = hist(args->ret); }'

柱状图是 BPF 映射,因此必须保存为一个映射(@),这个例子中映射键是 comm

这个例子使 bpftrace 给每个调用 read 系统调用的进程生成一个柱状图。要生成一个全局柱状图,直接保存 hist() 函数到 @(不使用任何键)。

程序终止时,bpftrace 自动打印出声明的柱状图。创建柱状图的基准值是通过 args->ret 获取到的读取的字节数。

追踪用户空间程序

你也可以通过 uprobes / uretprobes 和 USDT(用户级静态定义的追踪)追踪用户空间程序。下一个例子使用探测用户级函数结尾处的 uretprobe ,获取系统中运行的每个 bash 发出的命令行:

  1. $ sudo bpftrace -e 'uretprobe:/bin/bash:readline { printf("readline: \"%s\"\n", str(retval)); }'

要列出可执行文件 bash 的所有可用 uprobes / uretprobes, 执行这个命令:

  1. $ sudo bpftrace -l "uprobe:/bin/bash"

uprobe 指向用户级函数执行的开始,uretprobe 指向执行的结束(返回处);readline() 是 /bin/bash 的一个函数,返回键入的命令行;retval 是被探测的指令的返回值,只能在 uretprobe 访问。

使用 uprobes 时,你可以用 arg0..argN 访问参数。需要调用 str() 将 char * 指针转化成一个字符串。

自带脚本

bpftrace 软件包附带了许多有用的脚本,可以在 /usr/share/bpftrace/tools/ 目录找到。

这些脚本中,你可以找到:

  • killsnoop.bt——追踪 kill() 系统调用发出的信号
  • tcpconnect.bt——追踪所有的 TCP 网络连接
  • pidpersec.bt——统计每秒钟(通过 fork)创建的新进程
  • opensnoop.bt——追踪 open() 系统调用
  • bfsstat.bt——追踪一些 VFS 调用,按秒统计

你可以直接使用这些脚本,比如:

  1. $ sudo /usr/share/bpftrace/tools/killsnoop.bt

你也可以在创建新的工具时参考这些脚本。

链接

 

责任编辑:庞桂玉 来源: Linux中国
LinuxFedorabpftrace
相关推荐
使用SonarQube追踪代码问题
通过不断分析代码以了解潜在的质量问题,开源的SonarQube项目支持了DevOps的“尽早发布和经常发布”的思维模式。SonarQube它是一个开源平台,通过代码的自动化静态分析不断的检查代码质量。SonarQube支持20多种语言的分析,并在各种类型的项目中输出和存储问题。

2018-11-14 10:20:15

SonarQube开源追踪代码
Bpftrace去透视Linux内核
如果我们想看看tcp发送数据的大小,我们需要获取第三个(arg2)参数size的值。我们尝试写一个bpftrace的小脚本看一下size的值。

2022-11-27 11:00:15

iPhone中用代码创建 App Window
本文介绍的是iPhone中用代码创建AppWindow,基本是代码实现,我们来看内容。

2011-07-19 17:15:29

iPhone App
Fedora 32上运行Docker
随着Fedora32的发布,Docker的普通用户面临着一个小挑战。在编写本文时,Fedora32不支持Docker。虽然还有其他选择,例如Podman和Buildah,但是对于许多现有用户而言,现在切换可能不是最佳时机。因此,本文可以帮助你在Fedora32上设置Docker环境。

2020-07-20 18:30:44

Fedora 32DockerLinux
Vue 中用 Axios 异步请求API
Axios是Javascript中最受欢迎的HTTP库之一,我们可以用它在Vue程序中调用API。

2021-05-19 09:29:52

VueAxios异步请求
树莓派3上安装Fedora
在树莓派上运行Fedora。本文的安装过程已经在第三代树莓派上进行了测试:3Bv1.2和B+(较旧的树莓派2和新的树莓派4都还没有测试)。这些是已经发布了几年的信用卡大小的树莓派。

2020-08-16 09:00:15

树莓派FedoraLinux
Fedora Linux 系统上安装 PowerShell
本文介绍如何在主机上和在Podman或其他容器内安装PowerShell。

2022-12-03 16:02:51

Fedora上使用SSH端口转发
你可能已经熟悉使用ssh命令访问远程系统。ssh命令背后所使用的协议允许终端的输入和输出流经安全通道。但是你知道也可以使用ssh来安全地发送和接收其他数据吗?一种方法是使用“端口转发”,它允许你在进行ssh会话时安全地连接网络端口。本文向你展示了它是如何工作的。

2019-10-29 16:30:10

FedoraSSH端口Linux
Fedora Linux 上使用 OpenCV(一)
让计算机和手机能够看到周围环境的技术被称为计算机视觉。这个重新创造人眼的工作始于50年代。从那时起,计算机视觉技术有了长足的发展。计算机视觉已经通过不同的应用进入了我们的手机。这篇文章将介绍FedoraLinux上的OpenCV。

2021-08-19 18:28:22

FedoraLinuxOpenCV
Eclipse中用Scala语言开发Android应用
本文将介绍如何在Eclipse中用Scala语言开发Android应用,Scala是一门现代的多范式编程语言,志在以简练、优雅及类型安全的方式来表达常用编程模式。它平滑地集成了面向对象和函数语言的特性。下面我们来看看详细的过程

2012-06-08 09:28:15

EclipseScalaAndroid
Ubuntu 中用 Docker 管理 Linux Container 容器
本教程中我会向你们演示如何在Ubuntu14.04中使用Docker来管理LXC。需要注意的是,本教程的一些内容可能会与其他Ubuntu版本下的操作会稍微有些出入。当前Ubuntu系统下的Docker的安装包只提供64位。如果你想运行32位的Docker,你需要使用源码编译32位Docker工具。

2014-06-03 09:55:34

DockerLinux容器Ubuntu
Fedora下安装PPStream网络电视
网上有很多关于PPStreamLinux版本安装的教程,不过绝大多数都是基于Ubuntu的。本文参考totempps上的Wiki为例在Fedora12i686重做这个过程。

2009-12-17 09:56:01

FedoraPPStream网络电视
Fedora CoreOS 上运行 GitHub Actions
GitHubActions是一项为快速建立持续集成和交付(CICD)工作流程而提供的服务。这些工作流程在被称为“运行器runner”的主机上运行。GitHub提供的托管运行器的操作系统的选择是有限的(WindowsServer、Ubuntu、MacOS)。

2021-10-03 14:47:26

Fedora CoreGitHub Acti运行器
Fedora中使用私人助理Mycroft
想要找个开源的私人助理么?Mycroft可以让你运行一个开源的服务,从而更好地控制你的数据。

2019-06-27 14:00:13

edoraMycroft开源
Fedora上优化bash或zsh
本文将向你展示如何在Fedora的命令行解释器(CLI)Shell中设置一些强大的工具。如果使用bash(默认)或zsh,Fedora可让你轻松设置这些工具。

2019-11-11 15:10:37

FedoraLinuxbash
Fedora Linux 上进行 Java 开发
本文将引导你了解构成Java的各个组件,以及它们是如何相互作用的。本文还将介绍Java是如何集成在FedoraLinux中的,以及该如何管理不同的版本。

2022-02-09 15:29:35

Java组件编程语言
Fedora Eva QQ源代码下载安装编译代码
其中麻烦的部分应该是FedoraEvaQQ安装.我记录下我安装的过程,以备查阅源代码级别的安装首先下载FedoraEvaQQ的源代码。

2010-03-01 15:55:00

Fedora Eva
Fedora中获取最新的Ansible 2.8
Ansible是世界上最受欢迎的自动化引擎之一。它能让你自动化几乎任何事情,从本地系统的设置到大量的平台和应用。它是跨平台的,因此你可以将其用于各种操作系统。请继续阅读以获取有关如何在Fedora中获取最新Ansible,以及它的一些更改和改进,以及如何使用它。

2019-06-24 13:34:29

FedoraAnsible 2.8系统运维
使用EclipseFedora上进行 PHP 开发
Eclipse是由Eclipse基金会开发的功能全面的自由开源IDE。它诞生于2001年。你可以在此IDE中编写各种程序,从CC++和Java到PHP,乃至于Python、HTML、JavaScript、Kotlin等等。

2020-03-07 18:51:11

EclipseFedoraPHP
Fedora中结合权能使用Podman
容器化是一项蓬勃发展的技术。在不久的将来,多达百分之七十五的全球组织可能会运行某种类型的容器化技术。由于广泛使用的技术更容易成为黑客攻击的目标,因此保护容器的安全就显得尤为重要。本文将演示如何使用POSIX权能Capability来保护Podman容器的安全。

2020-11-26 10:25:09

FedoraPodmanLinux
点赞
收藏

51CTO技术栈公众号

业务
速览
在线客服