内核uprobes使用介绍

最新推荐文章于 2025-06-17 20:46:25 发布
原创 最新推荐文章于 2025-06-17 20:46:25 发布 · 1w 阅读 · 3 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文介绍了内核中的uprobe事件追踪工具,它是kprobe的用户态版本,用于在用户空间代码中设置探针。内容包括uprobe的启用、命令格式、如何查看事件监控文件及设置和清除检测点的示例。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

简介

uprobe 事件tracer工具是在内核3.5开发期间何入内核主线版本的,虽然uprobe已经存在很久了。uprobe是和kprobe类似的调试方法。编译内核时通过打开CONFIG_UPROBE_EVENT=y来时能该特性。和kprobe类似,使用时不需要通过current_tracer来激活,而是检测点通过/sys/kernel/debug/tracing/uprobe_events设置,通过/sys/kernel/debug/tracing/events/uprobes/<EVENT>/enabled来使能。

然而,和kprobe不同的是,使用时需要用户自己计算探测点在用户态文件中的偏移,可以通过nm等工具,这还是有点麻烦的。

命令格式

  p[:[GRP/]EVENT] PATH:SYMBOL[+offs] [FETCHARGS]    : Set a probe

 GRP        : Group name. If omitted, use "uprobes" for it.
 EVENT        : Event name. If omitted, the event name is generated
          based on SYMBOL+offs.
 PATH        : path to an executable or a library.
 SYMBOL[+offs]    : Symbol+offset where the probe is inserted.

 FETCHARGS    : Arguments. Each probe can have up to 128 args.
  %REG        : Fetch register REG

查看事件监控文件

可以通过/sys/kernel/debug/tracing/uprobe_profile来查看某一检测事件命中的总数和没有命中的总数。第一列是事件名称,第二列是事件命中的次数,第三列是事件miss-hits的次数。

使用举例

如下定义一个新的检测事件:

    echo 'p: /bin/bash:0x4245c0' > /sys/kernel/debug/tracing/uprobe_events

这样就在可执行文件/bin/bash的偏移0x4245c0处设置了检测点。

要清空所有的检测点,如下:

    echo > /sys/kernel/debug/tracing/uprobe_events


下面的例子给出了获得某可执行文件符号地址的方法:

    # cd /sys/kernel/debug/tracing/
    # cat /proc/`pgrep  bash`/maps | grep /bin/bash | grep r-xp
   00400000-004e1000 r-xp 00000000 08:01 786439                             /bin/bash
    # objdump -T /bin/zsh | grep -w free
    00000000004ab500 g    DF .text    0000000000000009  Base        free

0x4ab500是可执行文件/bin/zsh中哦给你free函数的偏移,可以看出/bin/bash的加载地址是0x00400000,因此设置free处为检测点的命令如下:

 echo 'p /bin/bash:0x4ab500 %ip %ax' > uprobe_events

可以通过uprobe_events来查看注册的事件:

    # cat uprobe_events
    p:uprobes/p_bash_0x4ab500 /bin/bash:0x00000000004ab500 arg1=%ip arg2=%ax


在正确的注册后,每个检测点事件都是禁止的,要检测这个事件,需要手动去激活它:

# echo 1 > events/uprobes/enable

在程序执行了一段事件后,禁止它,然后可以查看监控到的事件:

    # sleep 20
    # echo 0 > events/uprobes/enable

    # cat trace

    # tracer: nop
    #
    #           TASK-PID    CPU#    TIMESTAMP  FUNCTION
    #              | |       |          |         |
                 zsh-24842 [006] 258544.995456: p_bash_0x46420: (0x446420) arg1=446421 arg2=79
                 zsh-24842 [007] 258545.000270: p_bash_0x46420: (0x446420) arg1=446421 arg2=79
                 zsh-24842 [002] 258545.043929: p_bash_0x46420: (0x446420) arg1=446421 arg2=79
                 zsh-24842 [004] 258547.046129: p_bash_0x46420: (0x446420) arg1=446421 arg2=79

可观测性项目对 uprobe 的需求理解与实现
eBPF_Kindling的博客
12-06 895
uprobe是一种用户空间探针,uprobe探针允许在用户空间程序中动态插桩,插桩位置包括:函数入口、特定偏移处,以及函数返回处。当我们定义uprobe时,内核会在附加的指令上创建快速断点指令(x86机器上为int3指令),当程序执行到该指令时,内核将触发事件,程序陷入到内核态,并以回调函数的方式调用探针函数,执行完探针函数再返回到用户态继续执行后序的指令。
uprobe试用小结
daiq531的博客
10-07 3325
项目上需要分析用户态程序的性能,开发人员一般的方式是在程序内部实现打点函数,记录当程序运行到该点的时间戳,通过比较两点之间的时间间隔来估计两点之间的时间消耗。这样一方面增加了开发的工作量,另外这些打点也会给业务带来额外性能消耗,是否有另外的方式来解决该问题呢? 前段时间在研究ftrace,发现其还有个uprobe特性,故名思意就是用户态的探针工具,今天尝试了下uprobe使用,小结如下:
怎么使用uprobe
weixin_35756637的博客
02-15 436
uprobe是Linux内核提供的一种动态追踪工具,用于跟踪应用程序或内核模块中的函数调用或指令执行。使用uprobe可以帮助开发人员进行调试、性能分析、安全审计等操作。 以下是使用uprobe的一般步骤: 确定要追踪的函数或指令,可以使用readelf或objdump等工具查看可执行文件或内核模块的符号表。 使用uprobe工具,如perf或uprobes,在要追踪的函数或指令上设置探针。 ...
eBPF(6)--uprobe
最新发布
pigstor的博客
06-17 687
摘要:uprobe是一种用户空间探针技术,通过在二进制文件中插入断点指令实现动态插桩。它支持在函数入口/出口处插桩,并覆盖所有使用该二进制文件的进程。文章介绍了libbpf中的uprobe相关API(如bpf_program__attach_uprobe),详细展示了如何编写目标程序(需-g编译保留符号信息)、编写BPF探测程序(使用SEC和BPF_KPROBE宏),以及用户空间如何加载BPF程序进行插桩。通过实例演示了对test_add/test_sub函数的入口/出口监控,输出结果验证了uprobe的成
uprobe使用浅析
LiWang112358的专栏
10-15 2265
uprobe是linux内核提供的一种trace用户态函数的机制,可以在不对二进制重新编译的情况下进行trace特定函数,本文描述了uprobe的基本使用方法
uprobe使用简介
weixin_42136255的博客
03-21 1804
uprobe使用简介
编程技术_Linux 内核分析方法谈-综合文档
05-20
- 使用`kprobes`和`uprobes`动态插入探测点。 - `kdump`:内核崩溃时生成内存转储文件,便于分析故障原因。 9. **内存管理分析**:了解页表、物理内存分配(伙伴系统、slab分配器)和虚拟内存管理机制。 10. **...
【Linux内核】eBPF基础篇
qq_43840665的博客
10-21 2749
系列综述:💞目的:本系列是个人整理为了学习ebpf机制的,整理期间苛求每个知识点,平衡理解简易度与深入程度。🥰来源:材料主要源于–知乎ebpf专栏文章–进行的,每个知识点的修正和深入主要参考各平台大佬的文章,其中也可能含有少量的个人实验自证。🤭结语:如果有帮到你的地方,就和!!!!,后续继续完善和扩充👍(●’◡’●)
Linux 内核编译与调试环境资源包
06-23
使用QEMU、KVM或VirtualBox等虚拟机软件,可以在隔离的环境中测试新编译的内核,避免对主机系统造成影响。 7. **内核调试技巧**: - **printk**:内核中的打印语句,用于在内核日志中输出信息。 - **kprobes** ...
【linux内核】eBPF基础及应用调研
qq_43840665的博客
09-24 1491
Cilium 是一种面向容器环境的网络插件(CNI),基于eBPF实现了高效的网络连接,网络策略实施和可观测性等特性。作用高效网络代理:基于eBPF实现的零拷贝快速数据包处理和智能路由决策,实现高效的网络流量处理。网络策略实施:允许用户定义和实施精细的网络策略,控制容器之间的网络访问。可以根据容器的标签、命名空间等属性来制定策略,限制特定容器或一组容器的网络访问权限。可观测性:通过运行为每个节点的Hubble 组件和eBPF技术实现集群中流量和其他网络指标的实时观测。
ebpfpub:ebpfpub是Linux的通用函数跟踪库,它支持跟踪点,kprobes和uprobes
02-03
`ebpfpub` 是一个针对Linux操作系统的通用函数跟踪库,它的核心功能在于提供对不同类型的内核级跟踪机制的支持,包括跟踪点(Tracepoints)、kprobes 和 uprobes。这些工具对于系统监控、性能分析以及安全审计等方面...
BPF PerformanceTools.epub
08-21
BPF and related observability tools give software professionals unprecedented visibility into software, helping them analyze operating system and application performance, troubleshoot code, and strengthen security. BPF Performance Tools: Linux System and Application Observability is the industry’s most comprehensive guide to using these tools for observability. Brendan Gregg, author of the industry’s definitive guide to system performance, introduces powerful new methods and tools for doing analysis that leads to more robust, reliable, and safer code. This authoritative guide: Explores a wide spectrum of software and hardware targets Thoroughly covers open source BPF tools from the Linux Foundation iovisor project’s bcc and bpftrace repositories Summarizes performance engineering and kernel internals you need to understand Provides and discusses 150+ bpftrace tools, including 80 written specifically for this book: tools you can run as-is, without programming — or customize and develop further, using diverse interfaces and the bpftrace front-end You’ll learn how to use BPF (eBPF) tracing tools to analyze CPUs, memory, disks, file systems, networking, languages, applications, containers, hypervisors, security, and the Linux kernel. You’ll move from basic to advanced tools and techniques, producing new metrics, stack traces, custom latency histograms, and more. It’s like having a superpower: with Gregg’s guidance and tools, you can analyze virtually everything that impacts system performance, so you can improve virtually any Linux operating system or application.
uprobe 实战
小羊苏C的博客
02-16 998
简单的使用uprobe 操作过程记录。
深入ftrace uprobe原理和功能介绍
生活需要深度
03-13 415
我们以ubuntu为试验环境,使用uprobe一般都是编写内核驱动,在模块中定义uprobe_consumer ,然后调用uprobe的API(uprobe_register)来进行注册uprobe。regiseter_uprobe_event: 将 probe 添加到全局列表中,并创建对应的 uprobe debugfs 目录,即上文示例中的 p_test_0x115a。本章的我们来学习uprobe ,顾名思义,相对于内核函数/地址的监控,主要用于用户态函数/地址的监控。
基于Linux内核的应用探测: uprobe
yeholmes的专栏
03-13 4604
基于Linux内核的应用性能分析技术 Linux内核有良好的分层设计,但了解并实时跟踪内核的行为并不容易。为此,Linux内核开发者实现了跟踪点(tracepoint)、性能监测(perf_event)、函数跟踪(ftrace)等功能,用于Linux的调试和性能分析。最近几年已经成熟的eBPF内核子系统带来了内核性能分析技术的飞跃,常用的主要有bcc、bpftrace;二者同属于github的iovisor用户,直译出来即为“输入输出监测”,即性能监测。这些工具同样可用于应用层的性能分析,这是笔者关注的功能
uprobes技术介绍+示例代码,ebpf下的uprobe介绍+代码解释(用户层+内核层代码),修改内核层写法,将两个函数与bpf程序分离,去掉用户函数所在程序的符号表(strip,如何解决)
m0_74206992的博客
03-30 2762
uprobes技术介绍+示例代码,ebpf下的uprobe介绍+代码解释(用户层+内核层代码),修改内核层写法,将两个函数与bpf程序分离,去掉用户函数所在程序的符号表(strip,如何解决)
内核添加调试信息
idwtwt的专栏
01-17 1343
Systemtap需要添加kernel-debuginfo和utrace支持,添加一下选项,重新编译内核 CONFIG_KPROBE=y CONFIG_DEBUG_INFO=y CONFIG_DEBUG_FS=y CONFIG_RELAY=y CONFIG_KPROBE_EVENT=y CONFIG_UPROBE_EVENT=y C
使linux内核支持perf的配置
vc66vcc的博客
05-17 8432
配置内核支持PERF make menuconfig CONFIG_HAVE_PERF_EVENTS=y CONFIG_PERF_USE_VMALLOC=y 这两项不知道在 menuconfig中怎么找,但是可以在make menuconfg保存退出后,vi到.config中查找配置。 General setup-> Kernel Performance
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值