tracepoint和kprobe内核跟踪技术笔记

原创 已于 2025-10-31 16:58:13 修改 · 607 阅读 · 13 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#笔记 #服务器 #运维 #linux #kernel #trace #kprobe

于 2025-10-29 10:23:13 首次发布
部署运行你感兴趣的模型镜像

文档涵盖了Linux跟踪技术简介、静态与动态跟踪的使用方法、以及内核原理实现。笔记以简明扼要的方式提取关键点,便于记录和复习。

一、Linux Tracing 技术简介

Linux跟踪(tracing)技术用于观测系统运行状态,帮助分析性能瓶颈。它分为事件源和工具两类:

  • 事件源:提供底层事件触发和数据,包括硬件事件(如CPU周期)、软件事件(如上下文切换)、tracepoint(内核静态跟踪点)、kprobe(内核动态跟踪点)、uprobe(用户态跟踪)等。
  • 工具:处理事件数据,提供友好界面,如perf、ftrace、trace-cmd、eBPF、BCC、bpftrace等。火焰图是常用工具,依赖perf等采样数据。
  • 跟踪时优先使用稳定的tracepoint,不足时补充kprobe。

二、内核源码跟踪方法

2.1 静态跟踪(Tracepoint)
  • 原理:内核源码中预埋静态桩点(如trace_sched_switch),未开启时开销低;开启后执行注册的钩子函数。
  • 查看跟踪点
    • 使用ftrace:ls /sys/kernel/debug/tracing/events/查看模块目录,如sched模块下的跟踪点。

- 使用perf:`perf list tracepoint`列出所有跟踪点(如`sched:sched_switch`)。
  • 使用示例(以sched:sched_switch为例):
    • ftrace方法
      • 开启跟踪点:echo 1 > /sys/kernel/debug/tracing/events/sched/sched_switch/enable
      • 查看输出:cat /sys/kernel/debug/tracing/trace_pipe(显示进程切换详情)。
      • 关闭跟踪点:echo 0 > .../enable
    • perf方法
      • 录制事件:perf record -e 'sched:sched_switch' -a sleep 3
      • 解析结果:perf script(显示事件详情)。
      • 记录调用栈:加-g参数(如perf record -e 'sched:sched_switch' -a -g sleep 3),然后perf script可查看完整调用链。
  • 优点:稳定、低开销;缺点:跟踪点固定,无法覆盖所有函数。
2.2 动态跟踪(Kprobe)
  • 原理:动态替换内核函数指令为断点指令(BREAKPOINT_INSTRUCTION),截胡执行跟踪函数后恢复原指令。
  • 要求:内核需启用CONFIG_KPROBE_EVENT(检查:cat /boot/config-* | grep CONFIG_KPROBE_EVENT)。
  • 使用示例(跟踪schedule函数):
    • ftrace方法
      • 添加跟踪点:echo 'p:yanfei schedule' >> /sys/kernel/debug/tracing/kprobe_events
      • 开启跟踪:echo 1 > /sys/kernel/debug/tracing/events/kprobes/yanfei/enable
      • 查看输出:cat /sys/kernel/debug/tracing/trace_pipe
    • perf方法
      • 查看跟踪点:perf probe --list(显示kprobes:yanfei)。
      • 录制和解析:perf record -e kprobes:yanfei -a -g sleep 1,然后perf script查看调用栈。
  • 优点:灵活,可跟踪任意函数;缺点:影响系统性能,稳定性较低。

三、内核跟踪原理

3.1 Tracepoint 实现
  • 核心机制:通过宏定义(如DEFINE_TRACEDECLARE_TRACE)在源码中插入钩子:
    • 定义struct tracepoint对象,包含钩子函数链表。
    • 执行时,若跟踪点开启,调用__DO_TRACE遍历执行注册的钩子函数(如probe_sched_switch)。
  • 关键函数trace_xxx(内联函数,未开启时快速返回)和register_trace_xxx(注册钩子)。
3.2 Kprobe 实现
  • 核心机制:动态指令替换:
    • register_kprobe函数保存原指令,替换为断点指令(x86架构使用text_poke)。
    • 触发断点后,执行kprobe_int3_handler调用预定义的处理函数(如pre_handler),最后恢复原指令流。
  • 示例代码(简化自内核示例):
// 注册kprobe示例
static struct kprobe kp;
static int __init my_module_init(void) {
    kp.symbol_name = "write"; // 跟踪write函数
    kp.pre_handler = handler_pre; // 定义处理函数
    return register_kprobe(&kp);
}

四、总结

  • 跟踪选择:优先使用tracepoint静态点,必要时用kprobe动态补充。
  • 工具建议:perf的-g参数可捕获调用栈,ftrace适合底层操作。
  • 原理核心:tracepoint是源码钩子,kprobe是指令截胡——两者均简化了内核调试。
  • 实践价值:结合代码跳转和跟踪工具,能高效分析内核行为。

此笔记提取了文档的核心技术内容,便于快速回顾。如有具体技术问题,可进一步深入讨论。

您可能感兴趣的与本文相关的镜像

ACE-Step

ACE-Step

音乐合成
ACE-Step

ACE-Step是由中国团队阶跃星辰(StepFun)与ACE Studio联手打造的开源音乐生成模型。 它拥有3.5B参数量,支持快速高质量生成、强可控性和易于拓展的特点。 最厉害的是,它可以生成多种语言的歌曲,包括但不限于中文、英文、日文等19种语言

trace系列4 - kprobe学习笔记
HZero
10-30 3465
1.前言 本文主要是根据阅码场 《Linux内核tracers的实现原理与应用》视频课程在aarch64上的实践。通过观察钩子函数的创建过程以及替换过程,理解trace的原理。本文同样以blk_update_request函数为例进行说明function trace kprobe的工作原理,此处的kprobe是基于function trace来实现。 kernel版本:5.10 平台:arm64 2. function trace钩子函数替换过程 2.1 编译阶段 同Linux ftrace学习笔记中编
trace系列3 - trace event学习笔记
HZero
11-04 5041
0.前言 本文主要是根据阅码场 《Linux内核tracers的实现原理与应用》视频课程在aarch64上的实践。通过观察钩子函数的创建过程以及替换过程,理解trace的原理。本文同样以blk_update_request函数为例进行说明trace event的原理。 1. TRACE_EVENT宏 第一次定义(include/linux/tracepoint.h) #define TRACE_EVENT(name, proto, args, struct, assign, print) \
Linux内核调试原理工具介绍--理解静态插装/动态插装、tracepoint、ftracekprobe、SystemTap、Perf、eBPF
网络安全研究
04-28 5851
可以将linux跟踪系统分成Tracer(跟踪数据来自哪里),数据手机分析(如"ftrace")跟踪前端(更方便的用户态工具)。 1. 数据源(Tracers) printk 是一种方法, 但是 printk 终归是毫无选择地全量输出, 某些场景下不实用。 Tracepoint属于静态插装, 是散落在内核源代码中的一些 hook,一旦使能,它们便可以在特定的代码被运行到时被触发。比如Ftrace...
ftracekprobetracepoint 入门
weixin_38184628的博客
02-21 2648
调试工具在开发过程中是必不可少的,特别是在定位 bug, 分析性能瓶颈的时候,调试工具可以给我们很大的帮助。在使用 c/c++ 做应用开发时,gdb 是我们经常使用的调试工具,在使用 gdb 时, 我们可以设置断点,查看调用栈,单步执行,修改或查看变量等。调试工具可以帮助我们直观地观察到软件的运行过程,进而使我们快速熟悉一个新的软件。比如在工作中,想要了解已有软件的架构,只靠看代码是很难了解透彻的,通过日志调试工具可以提高学习效率。
Tracepoints Kprobes 区别与故障排查
zhangdaolong
03-12 1051
都是 Linux 内核提供的动态追踪机制,用于性能分析调试。:适用于深入分析调试,灵活性强,但可能影响系统稳定性。:稳定性高,适用于长期维护的分析工具,如 eBPF、如果 tracepoints 不存在,使用。,在编译时已经优化,性能损耗低。,可能导致探测点失效或变化。,不会随内核版本轻易更改。添加,代码中通常带有。,不需要提前定义探测点。,可能影响系统稳定性。(不会随内核版本变化)(内核升级后可能失效)
动态控制eBPF程序加载:检查 TracepointKprobe是否存在
2401_84703565的博客
06-02 1315
在 eBPF 程序开发中,确保程序能够在各种不同的系统配置中兼容运行是至关重要的。本文将详细介绍一个方案,通过动态检查TracepointKprobe是否存在,并结合libbpf的API接口控制 eBPF 程序的加载。这种方法不仅可以提升程序的灵活性,还能提高其在不同内核版本系统配置中的兼容性。检查指定的 Tracepoint 是否存在;检查指定的 Kprobe 是否存在;
云原生之动态追踪
key_3_feng的博客
05-21 523
【80页】eBPF学习笔记1
08-03
- **解耦网络子系统**:eBPF程序可挂接到KprobeTracepoint等,不仅限于网络处理。 - **Maps**:键值存储结构,用于不同eBPF程序间的状态共享。 - **助手函数**:提供如封包改写、Checksum计算等功能。 - **尾...
1、BPF技术:从基础到应用的全面解析
最新发布
t8u9v0w1x的博客
08-18 159
本文深入解析了BPF(Berkeley Packet Filter)技术的起源、发展核心概念,并详细介绍了其在系统性能分析与故障排除中的实际应用。文章内容涵盖了BPF的工作原理、主要接口工具(如BCCbpftrace)、跟踪机制、插桩技术以及与传统分析工具的对比优势。此外,还讨论了BPF的执行环境架构、性能优化原理及其程序开发方法,展示了BPF技术在现代系统可观测性安全性方面的巨大潜力。
《system performance》&《BPF PerformanceTools》读书笔记(一)概述
xyin_kevin的博客
05-02 2164
《system performance:Enterprise and the Cloud》&《BPF PerformanceTools》,性能调优大神Brendan Gregg写的两本书。前者
第一次使用Linux内核Tracepoint的体验
TCP/IP
01-01 6980
我并不觉得丢人,一点也不。 我是说我工作这么多年做Linux内核相关的事,竟然在上上周才第一次使用tracepoint。 这并不奇怪,我不会的东西还多着呢,比方说,我一直强调的,我不会编程,我也不会用git。 言归正传,如果这么多年我都没用过tracepoint,那么作为替代,我用什么呢? 如果我调试内核或者调试内核模块,最最最常用的方法就是在代码里加一条printk(如果是用户态程序,我就加一条printf。),我来告诉你理由: printk/printf 不需要安装任何别的依赖包。 printk/p
利用ftrace跟踪内核static tracepoint——实例writeback event
河西无名式
08-23 9354
很多linux内核子系统一样,static tracepoint有很多层次,其中某个层次都展示给不同层次的开发者来满足他们的不同需求。关于linux tracepoint的详细信息,我们可以在linux内核文档Documentation/trace/tracepoints.txt samples/tracepoints这两个地方找到。大致来说,对tracepoints本身的定义是第一个层次,一般只有内核开发者才会定义这些tracepoints;trace event是第二个层次,用于debug;第三个层
透过Tracepoint理解内核 - 调度器框架性能
宋宝华
10-14 4861
静态tracepoint预埋在内核的关键位置, 通过这些预埋的tracepoint, 可以比较容易梳理出相关模块的框架及主要流程. 相比于直接钻到scheduler的实现细节中去, 我们...
ftracetracepointevent trace的使用
Xia_Lazy的博客
09-28 2771
文章目录例子参考文章 例子 这篇文章https://www.ibm.com/developerworks/cn/linux/1609_houp_ftrace/index.html 对tracepointevent trace都说的很清晰了,这里就不做赘述了,主要来看一下kernel里的一个例子。 先看一下抓的log命令 命令:分别用3个bat完成 enable trace set trac...
Linux kernel : trace point 机制
u012849539的博客
06-14 3903
kprobe原理解析(一)
weixin_30706691的博客
06-14 300
kprobelinux内核的一个重要特性,是一个轻量级的内核调试工具,同时它又是其他一些更高级的内核调试工具(比如perfsystemtap)的“基础设施”,4.0版本的内核中,强大的eBPF特性也寄生于kprobe之上,所以kprobe内核中的地位就可见一斑了。本文想把kprobe的原理掰碎了给大家看。 怎么讲kprobe,我把整个讲述分为两部分,第一部分是kprobe怎么用,第二是kp...
在已安装win10环境中利用EasyBCD引导安装Ubuntu18.04
热门推荐
Reasonss的博客
06-01 4万+
ubuntu18.04镜像iso 链接:https://pan.baidu.com/s/12dZWC_erL5qBQvM7ki2g9A 密码:9d5g EasyBCD2.2 链接:https://pan.baidu.com/s/1FtdJgSv0w3T6t96O7SUn9w 密码:fse9   1.windows硬盘分区 win+x  -》 磁盘管理   由于我只有一个256的固态...
怎么通过ssh连上ipv6的服务器?阿里云怎么配置ipv6?wsl2怎么支持ipv6?
Reasonss的博客
06-29 3万+
怎么通过ssh连上ipv6的服务器?阿里云怎么配置ipv6?wsl2怎么支持ipv6?
tracepoint内核调试中的应用与示例分析
tracepoint提供了一种强大的内核调试方法,它比动态跟踪技术具有更好的性能,并且对于项目而言,它提供了一种更为稳定一致的调试机制。由于tracepoint的静态特性,它不会因为内核的更新而被破坏,这使得它在长期...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

交叉编译之王 hahaha

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值