Datenlord |用BPF实现用户态tracing

已于 2022-07-12 12:38:25 修改 · 524 阅读 · 1
文章标签:

#大数据

于 2022-07-12 12:37:30 首次发布
本文介绍了BPF(Berkeley Packet Filter)在Linux内核中的发展,从简单的网络包过滤工具演变为一个强大的内核扩展工具。通过用户态静态定义的Tracepoints(USDT)在程序中插入轻量级的监控点,配合BPF字节码的运行,可以在内核态安全地执行用户编写的程序,用于性能分析、网络、安全等多个领域。文章以一个用户态应用为例,展示了如何使用BPF和bpftrace命令进行性能分析,以及如何通过BCC工具编写BPF程序进行USDT tracing,从而捕获和处理tracepoint数据。

作者 | 王璞

BPF是最近Linux内核领域热门的技术。传统的BPF指的是tcpdump命令用于过滤网络包的工具,现在BPF已经得到极大的扩展,不再是Berkeley Packet Filter的缩写对应的简单的网络包过滤工具。 从Kernel 4.9之后,BPF已经成为一个完善的内核扩展工具,BPF在内核里运行一个sandbox,用于执行BPF的字节码(bytecode), 在执行BPF程序前,BPF的检查器会对BPF程序的字节码进行安全检查(比如,指针要先判断不为空后再访问,代码里不能有循环,等等),以保证BPF程序不会导致系统崩溃,因为BPF程序执行时是在内核态。 因此,BPF可以很安全地在内核态执行用户编写的程序,而且有安全保证,这比编写内核模块安全太多了。 正是因为BPF能保证安全,并运行在内核态,可以大大简化很多以前很复杂的事情,目前BPF已经应用于性能分析、网络、安全、驱动、区块链等等领域。

已经有很多文章介绍BPF在内核性能分析(Kernel tracing)方面的应用。内核有各种定义的tracepoint用于静态tracing,也可以采用动态tracing来跟踪内核函数调用。 用BPF进行内核tracing,开销小而且性能好,因为BPF程序是运行在内核态,不需要把采集到的数据再传回用户态处理,而是直接在内核态完成数据采集和处理,然后把处理结果传回用户态用于展示。 关于BPF用于内核tracing方面不再赘述,本文专注于利用BPF进行用户态应用性能分析(Userspace tracing)方面。

用户态tracing

在进行用户态tracing前,要在程序里定义tracepoints。这里主要介绍Userland Statically Defined Tracepoints(USDT)。

因为USDT依赖systemtap-sdt-dev包,先要安装依赖包,以Ubuntu为例,运行sudo apt install systemtap-sdt-dev进行安装。 下面的示例test-server.c给出如何使用宏DTRACE_PROBE1在用户程序里定义tracepoint:

#include <sys/sdt.h>
#include <unistd.h>

int main(int argc, char **argv)
{
    int idx = 0;
    while(1) {
        idx++;
        // 自定义的tracepoint
        DTRACE_PROBE1(test_grp, test_idx, idx);
        sleep(1);
    }
    return 0;
}

上面的例子,用宏DTRACE_PROBE1定义了一个组名为test_grp、名称为test_idx的用户态tracepoint。该tracepoint只有一个参数,该参数是一个递增的整数变量。 如果要定义有两个或更多参数的tracepoint,要用DTRACE_PROBE2DTRACE_PROBE3,以此类推。如果tracepoint不带参数,则用DTRACE_PROBE来定义。 用gcc命令编译上面的程序

最低0.47元/天 解锁文章
为raspberrypi编译bpftrace调试工具
yeholmes的专栏
03-03 1893
例如,树苺派的Linux内核版本为6.1,那么确认该版本内核的(初始)发布日期(是2023年初发布的),然后选择时间上相近的。系统,二者的Linux内核版本大致相同,均为6.1版本。之后,我们需要在debian安装其他依赖库(而不编译所有的依赖库,否则耗时太久了)。工具的过程,按照这些操作,笔者为工作中的嵌入式设备也制作了可用的。然而工作中,笔者因使用的嵌入式设备比较老,使用的版本为。的正常运行,可能还需要访问内核的头文件,这就需要使能。然后,笔者为树莓派的内核使能了相关的内核选项,详见。
bpf跟踪用户态
sinat_33653600的博客
02-23 341
bpf跟踪用户态
LWN: 对BPF tracing进行类型检测
Linux News搬运工
11-13 575
Type checking for BPF tracingByJonathan CorbetOctober 28, 2019原文来自:https://lwn.net/A...
trace-bpfcc
远行的蜗牛
09-10 535
Bpfcc-trace 帮助
bpf-跟踪函数
weixin_43690845的博客
07-28 319
通过bpf确认内存申请 1 #include<stdio.h> 2 #include<string.h> 3 int main(void) 4 { 5 int len = 1024*1024; 6 char *buf; 7 printf("pid=%d\n", getpid()); 8 getchar(); 9 malloc(len);
eBPF程序如何通过BPF Map实现用户态事件通知?
09-24
好的,用户现在明确想了解eBPF程序如何通过BPF Map实现用户态事件通知。之前已经讨论过BPF Map的同步机制,但用户这次聚焦在“事件通知”这个具体场景上。 用户可能正在开发需要内核触发用户态响应的系统,比如实时...
/* * 1: Compare to pid */ BPF_JUMP(BPF_JMP | BPF_JEQ | BPF_K, htonl(pid), 1, 0), /* * 2: Compare to dplane pid */ BPF_JUMP(BPF_JMP | BPF_JEQ | BPF_K, htonl(dplane_pid), 0, 4), /* * 3: Load the nlmsg_type into BPF register */ BPF_STMT(BPF_LD | BPF_ABS | BPF_H, offsetof(struct nlmsghdr, nlmsg_type)), /* * 4: Compare to RTM_NEWADDR */ BPF_JUMP(BPF_JMP | BPF_JEQ | BPF_K, htons(RTM_NEWADDR), 2, 0), /* * 5: Compare to RTM_DELADDR */ BPF_JUMP(BPF_JMP | BPF_JEQ | BPF_K, htons(RTM_DELADDR), 1, 0), /* * 6: This is the end state of we want to skip the * message 这样写
最新发布
10-17
用户现在提供了两段引用,并询问使用BPF_JUMP和BPF_STMT(即经典的BPF cBPF风格)编写的过滤代码是否正确。用户没有提供具体的代码,但我们可以根据经典BPF的语法来推断。 经典BPF(cBPF)使用一组指令(BPF_STMT和...
BPF Map在用户态内核态之间如何实现数据同步?
09-24
我们正在讨论BPF Map在用户态内核态之间实现数据同步的方法。根据引用[1],BPF MAP为BPF程序的内核态用户态提供了一个双向数据交换的通道。具体来说,BPF Map是内核空间中的一种数据结构,可以被用户态程序通过...
bpf用户态perf_event如何实现
07-23
我们正在讨论的是如何在用户态实现与perf_event相关的BPF功能,特别是BPF与perf_event的交互功能。根据提供的引用,我们可以总结出以下关键点: 1. BPF程序可以通过perf_event机制将事件数据从内核态发送到用户态...
bpftrace 使用docker静态编译ubuntu-glibc2.27 arm64版本
syj2468的博客
11-11 845
我自己的llvm镜像已经修改了apt源,所以apt-get update操作会比较快,但是如果使用的官方的镜像,如果觉得慢需要在相应的Dockerfile文件里替换源。官方也提供了相应的Dockerfile文件,在bpftrace/docker/Docker.llvm.可以使用这个制作,需要手动更改一些配置。由于要编译的版本是arm64,官方给的镜像是amd64的,需要手动修改下文件docker/Docker.ubuntu-glic。这里使用的镜像是我自己制作的llvm12 arm64镜像。
静态编译的bpftrace可执行程序v0.12.0
09-02
静态编译的bpftrace,不依赖任何动态库,版本为:0.12.0. https://github.com/iovisor/bpftrace https://github.com/iovisor/bpftrace/releases/tag/v0.12.0
半静态编译的bpftrace:v0.16.0
09-02
半静态编译的bpftrace,版本v0.16.0,库依赖如下: $ ldd bpftrace_v0_16_0 linux-vdso.so.1 (0x00007ffec589f000) librt.so.1 => /lib/x86_64-linux-gnu/librt.so.1 (0x00007fef1540d000) libpthread.so.0 => /lib/x86_64-linux-gnu/libpthread.so.0 (0x00007fef15408000) libdl.so.2 => /lib/x86_64-linux-gnu/libdl.so.2 (0x00007fef15403000) libm.so.6 => /lib/x86_64-linux-gnu/libm.so.6 (0x00007fef1531c000) libc.so.6 => /lib/x86_64-linux-gnu/libc.so.6 (0x00007fef11fd8000) /lib64
Linux内核学习日记补充0:内核态用户态
weixin_41783242的博客
05-11 462
有关内核态用户态的笔记
bpftrace
A152419的博客
04-12 3409
是一个基于 eBPF (Extended Berkeley Packet Filter) 的高级工具,用于动态跟踪系统的各种事件和性能指标。它可以在不需要重新编译内核模块的情况下,以一种安全、高效的方式执行代码,从而提供了丰富的系统跟踪和性能分析能力。
详谈操作系统中的内核态用户态
LxinY213的博客
09-17 2671
不知道大家有没有思考过这样一个问题:什么是处理器(CPU)的状态?🤔其实CPU和人一样,没有执行程序的时候,是没有什么状态的,当它执行的程序是用户程序的时候就叫,当执行的程序是操作系统的代码时就叫系统态或者接下来,我们就来谈谈内核态用户态.
Linux性能分析工具(二)bpftrace (WIP)
weixin_38739241的博客
04-10 1550
bpftrace
bpftrace安装与编译完全指南
gitblog_00712的博客
06-04 733
bpftrace安装与编译完全指南 【免费下载链接】bpftrace High-level tracing language for Linux eBPF 项目地址: https://gitcode.com/gh_mirrors/...
bpf-查找回调函数
weixin_43690845的博客
07-28 184
1)sudo trace-bpfcc -t 'submit_bio(struct bio *bio) "func=0x%lx",bio->bi_disk->queue->make_request_fn 2)func=0xffff000008478e18 3)sudo cat /proc/kallsyms |grep ffff000008478e18
BPF使用
shalan88的博客
12-28 1364
BPF-调试
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

达坦科技DatenLord

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值