Linux SystemTap tool 分析

最新推荐文章于 2025-09-10 16:37:45 发布
原创 最新推荐文章于 2025-09-10 16:37:45 发布 · 674 阅读 · 16 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#linux

Linux SystemTap tool

SystemTap 是 Linux 下的一个强大的动态追踪工具,主要用于内核空间的性能分析与问题诊断。它允许用户编写探测脚本来插入追踪点(probe)并收集内核或用户态程序的运行时信息,功能类似于 DTrace、ftrace、eBPF 等工具,但更侧重灵活性与脚本化能力。

SystemTap 主要组成

组件说明
stap主命令行工具,负责编译和运行脚本
.stpSystemTap 脚本文件,定义 probe 和 handler
staprun用于运行 SystemTap 生成的内核模块
stapio用户态 I/O 通道程序,数据从内核模块传回用户态
SystemTap runtime内核模块运行时支持库
kernel module (.ko)stap 编译 .stp 生成的临时内核模块

SystemTap 工作流程原理

  1. 用户编写 .stp 脚本
probe kernel.function("do_sys_open") {
    printf("open called with filename: %s\n", argstr)
}
  1. stap 编译脚本

SystemTap 使用内建编译器(前端解析 + C 代码生成)将脚本编译为一个内核模块。其流程为:

.stp 脚本
   ↓
解析与语义分析(frontend)
   ↓
转换为 C 代码(C backend)
   ↓
调用 gcc 编译为 .ko 模块
  1. 加载内核模块并执行 probe

staprun 被用来加载生成的内核模块。内核模块中注册 probe handler(通过 kprobe、tracepoints、uprobes 等)并等待触发。

  1. 内核模块运行时回传数据
    内核模块运行后,每当匹配的 probe 被触发,就会调用对应的 handler,采集的数据通过 relayfs 或 netlink 回传给用户态,由 stapio 打印或写文件。

SystemTap 支持的探测点类型

类型示例说明
kprobekernel.function("vfs_read")内核函数入口
kretprobekernel.function("vfs_read").return内核函数返回
tracepointkernel.trace("sched_switch")使用静态 tracepoint
uprobesprocess("/bin/ls").function("main")用户态程序函数
timertimer.s(1)每秒触发
begin/endprobe begin {}程序开始和结束

SystemTap 与其他工具比较

工具特点适用场景
SystemTap强脚本语言,功能强大,但需内核模块支持内核分析、复杂事件逻辑
ftrace内核内建,低开销,配置简单低层函数跟踪
perf高性能采样,支持硬件事件性能瓶颈定位
eBPF安全、可持久运行,社区活跃云原生监控,内核透明追踪

SystemTap 的优缺点

优点

  • 脚本化语法简洁,可读性强
  • 支持复杂条件逻辑与计数器
  • 可追踪用户态与内核态
  • 内核级别动态插桩,能力强大

缺点

  • 编译模块需要 debug kernel headers 或内核源代码
  • 加载内核模块具有一定安全隐患
  • 兼容性依赖内核版本,容易 break
  • 不支持非 root 用户(或需授权)

实际示例

示例 1:统计某个系统调用调用次数

global open_count

probe kernel.function("do_sys_open") {
    open_count++
}

probe end {
    printf("open 被调用了 %d 次\n", open_count)
}

示例 2:追踪进程上下文切换

probe kernel.trace("sched_switch") {
    printf("%s -> %s\n", $prev_comm, $next_comm)
}

SystemTap 安装与使用注意事项

安装依赖(以 Ubuntu 为例):

sudo apt install systemtap systemtap-runtime linux-headers-$(uname -r)

检查内核调试符号支持:

stap -v -e 'probe vfs.read { exit() }'

如果提示缺少 debug symbols,建议安装:

sudo apt install linux-image-$(uname -r)-dbgsym

总结

SystemTap 提供了强大、灵活的追踪能力,适合进行内核级别的性能调优和调试。相比 ftrace/perf 更适合需要定制逻辑和跨层次分析的高级场景。但由于其编译模块的方式限制了灵活性,在现代系统中逐渐被 eBPF 替代。

Linux 系统调试】系统的动态跟踪工具--SystemTap
电视里爬出的程序员 📺💻 领域王牌: ▶ 数字电视标准解码专家 ▶ 智能监控算法驯兽师 ▶ Linux嵌入式炼金术士 ▶ 人脸识别整活实践家
05-13 1011
SystemTap是一种用于Linux系统的动态跟踪工具,允许用户监控和调试运行中的内核和用户空间程序。它通过编写脚本(称为“探针”)来收集系统信息,帮助分析性能问题、调试内核模块或用户程序。编写脚本假设需要监控open运行SystemTap脚本将上述脚本保存为输出结果示例当有进程调用openSystemTap是一个功能强大的工具,能够帮助用户深入分析Linux系统的运行情况。通过编写简单的脚本,可以监控系统调用、内核函数、网络数据包等,从而快速定位和解决系统性能问题。
【 C/C++ 性能分析工具 CPU 采样分析器 perf 】掀开Linux perf性能分析的神秘面纱
探索C++编程的奥秘,分享深入的技术见解和实践,旨在激发读者创造力与解决问题的思维。
04-07 2729
Linux perf(性能分析工具)是一个功能强大且灵活的性能剩余工具,它可以在Linux系统上检测和调试各种性能问题。Linux内核集成了perf工具,可用于探测内核性能事件、硬件性能计数器以及用户级应用程序性能事件。 perf工具可以用于剖析(profile)应用程序,从而找出瓶颈和优化点,以提高系统的性能和稳定性。它支持多种统计和视图模式,能够为开发人员和系统管理员提供深入的性能分析
SystemTap (stap) 工具入门
dong_beijing的博客
05-02 1017
stap是linux服务端 跟踪/探测 调试的工具,详见适用于多进程调试,例如nginx,同时避免了gcore/gdb的麻烦。本文入门介绍2则入门用法。
Linux系统动态追踪与诊断工具Systemtap详解
最新发布
weixin_30789053的博客
09-10 452
Systemtap 支持用户自定义函数,同时也提供大量内置函数用于系统级数据采集。printf("自定义输出: %s\n", msg)")
Linux系统分析调试工具systemtap
dustzhu的博客
12-24 842
Linux有一个和solaris的dtrace类似的工具systemtap,同样很强大,本文主要介绍此工具,最后用这个工具编写脚本,做一下应用瓶颈分析。 一.简介 SystemTap是一个诊断Linux系统性能或功能问题的开源软件。它使得对运行时的Linux系统进行诊断调式变得更容易、更简单。有了它,开发者或调试人员不再需要重编译、安装新内核、重启动等烦人的步骤。 为了诊断系统问题或性能,开发者或...
systemtap内核探测工具
zzhongcy的专栏
04-08 468
systemtap是内核开发者必须要掌握的一个工具,本文我将简单介绍一下此工具,后续将会有系列文章介绍systemtap的用法。 什么是systemtap 假如现在有这么一个需求:需要获取正在运行的 Linux 系统的信息,如我想知道系统什么时候发生系统调用,发生的是什么系统调用等这些信息,有什么解决方案呢? 最原始的方法是,找到内核系统调用的代码,加上我们需要...
systemtap原理及使用
csr_hema的专栏
11-28 813
SystemTap的架构 SystemTap用于检查运行的内核的两种方法是 Kprobes和 返回探针。但是理解任何内核的最关键要素是内核的映射,它提供符号信息(比如函数、变量以及它们的地址)。有了内核映射之后,就可以解决任何符号的地址,以及更改探针的行为。 Kprobes从 2.6.9 版本开始就添加到主流的 Linux 内核中,并且为探测内核提供一般性服务。它提供一些不同的服务,但最重要的
SystemTap了解
weixin_34337265的博客
08-20 184
SystemTrap是监控和跟踪运行中的Linux内核操作的动态方法。 http://www.ibm.com/developerworks/cn/linux/l-systemtap/ 使用SystemTrap需要使用trap来运行一个stp脚本 如何安装: Centos下直接yum install systemtrap就行了 测试是否可以运行 运行:stap -ve 'probe be...
linux-tool
09-22
### Linux性能分析与工具 #### 引言 随着云计算、大数据等技术的飞速发展,对服务器性能的要求越来越高。为了确保系统的稳定运行和高效服务,Linux性能分析与工具的应用变得至关重要。本文基于Brendan Gregg在2013...
linux code tool
03-31
"Linux code tool"这个标题表明我们讨论的是用于处理Linux内核代码的工具集,这可能包括源码阅读器、静态分析工具、性能监控工具等。在描述中提到"kernel code is very good",这可能是对Linux内核代码质量的赞赏,...
Linux系统性能分析与工具深度探索
3. **SystemTap**: 脚本语言,用于分析Linux内核和用户空间程序的行为。 4. **iostat**: 监控磁盘I/O统计,识别I/O瓶颈。 5. **vmstat**: 显示虚拟内存统计,帮助理解系统负载和进程调度。 6. **top/htop**: 显示...
linux系统分析工具
12-01
### Linux系统分析工具详解 #### 引言 随着Linux系统的广泛应用与不断演进,系统性能分析变得愈发重要。为了帮助用户更好地理解并优化Linux系统的性能,本文将基于Brendan Gregg于2013年在SCaLE11x大会上分享的...
嵌入式设备上SystemTap调试工具使用
yeholmes的专栏
10-31 1453
SystemTap调试工具简介 SystemTap调试器常用于Linux内核的动态调试,不过该工具集也可用于应用的跟踪调试。随着Linux内核及其应用程序的复杂度不断加深,使用一些在功能上区别于传统的GDB调试工具就变得越来越重要了。这类调试工具具有低延时(Low Latency),高性能,动态调试的特点。嵌入式Linux设备的系统软件通常不需从头开发,这些调试工具可以帮助开发者快速理解Linux内核、系统层软件,同时定位、解决一些软件上的缺陷。 SystemTap的工作机制比较特殊,它会将开发者编写的Sy
内核探测工具systemtap简介
海风林影
09-17 2175
systemtap是内核开发者必须要掌握的一个工具,本文我将简单介绍一下此工具,后续将会有系列文章介绍systemtap的用法。 什么是systemtap 假如现在有这么一个需求:需要获取正在运行的 Linux 系统的信息,如我想知道系统什么时候发生系统调用,发生的是什么系统调用等这些信息,有什么解决方案呢? 最原始的方法是,找到内核系统调用的代码,加上我们需要获得信息的代码、重
SystemTap(stap)架构和原理介绍,以及脚本编写举例
Yang的博客
08-26 2574
SystemTap(stap)架构和原理介绍,以及脚本编写举例
systemtap
lfdanding的专栏
04-30 1140
1、安装systemtap 安装linux kernel的debug info有两种方法 sudo apt-get install systemtap 仅仅有systemtap,是不能探测Linux内核信息的,需要装内核的debuginfo,有两种方法 第一种: 1、安装kernel-debug-info包 可以参考这篇blog    http://blog.chinaunix
Linux指令:SystemTap内核跟踪和探测工具
RToax
10-09 4785
SystemTap是一种跟踪和探测工具,它使用户可以详细研究和监视操作系统(特别是内核)的活动。它提供了类似的工具的输出信息,如netstat,ps,top,和iostat; 但是,SystemTap旨在为收集的信息提供更多的筛选和分析选项。 SystemTap是监视和跟踪正在运行的Linux内核的运行的动态方法。关键字是动态的,因为SystemTap允许您在运行时动态安装该工具,而不是使用工具构建特殊的内核。它使用称为Kprobes的应用程序编程接口(API) 进行此操作,本文将对此进行探讨。
三大调试工具gdb,*trace,systemTap使用指南
千墨 的优快云《断剑情雪》
08-08 2775
总体而言三者各有千秋,gdb可动态调试,ftrace主打系统函数追踪,而systemtap功能很强大,个人感觉基本覆盖了ftrace,且能动态捕获系统函数或应用函数的执行时间,项目工作中很实用。
systemtap原理
已迁移至 https://seekstar.github.io/
12-26 442
systemtap的核心是probe(探针),可以在任何一条语句上加上探针,当执行到这条语句时将控制流转移到探针的handler上。其实现原理是在module_init时将相应指令的第一个字节替换成0xcc,也就是INT 3。这样执行到这条指令时就会跳转到INT 3的中断处理函数,由其判断出应该跳转到哪个handler。在module_exit中将这些指令还原。 ...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值