bcc学习总结一

最新推荐文章于 2025-06-04 16:43:40 发布
最新推荐文章于 2025-06-04 16:43:40 发布
阅读量3.1k 收藏 10
点赞数 2
CC 4.0 BY-SA版权
分类专栏: 笔记 python linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/lindorx/article/details/112348098

基本结构

#导入库
from bcc import BPF
#使用BPF()执行bpf代码
BPF(text="""
#C语言代码段
"""
)
#对bpf的处理代码

C语言代码编写

不需要写main函数,目前知道可以写两种函数,以“kprobe__”开头的函数和自定义函数。bpf函数至少要包含一个参数“ctx”,即使不使用也应该存在,可以声明为“void *ctx”。
以“kprobe__”开头的函数,其余的名称部分表示要检测的函数,比如“kprobe__sys_clone”,表示要检测的函数是“sys_clone()”。例:

from bcc import BPF
#
BPF(text=
"""
int kprobe__sys_clone(void *ctx) 
{
    bpf_trace_printk("Hello, World!\\n"); 
    return 0; 
}
"""
).trace_print()

自定义函数需要另外指定其要关联的事件或其他,由”attach_*“类的函数实现。举例如下:

bpf_text="""
int hello(void *ctx) {
    bpf_trace_printk("Hello, World!\\n");
    return 0;
}
"""
b = BPF(text=bpf_text)
#将“hello()”函数关联clone函数。
b.attach_kprobe(event=b.get_syscall_fnname("clone"), fn_name="hello")

print("%-18s %-16s %-6s %s" % ("TIME(s)", "COMM", "PID", "MESSAGE"))
while 1:
    try:
        (task, pid, cpu, flags, ts, msg) = b.trace_fields()
    except ValueError:
        continue
    print("%-18.9f %-16s %-6d %s" % (ts, task, pid, msg))

部分bpf函数说明

bpf_trace_printk() : 相当于精简版的printk,将数据输出到trace_pipe(/sys/kernel/debug/tracing/trace_pipe),此函数有一定限制,最大3个参数,一个%s,但是由于trace_pipe是全局共享的,对于并发程序而言有冲突,因此更建议使用BPF_PERF_OUTPUT()。

BPF_HASH() : 创建散列,例如“BPF_HASH(test)”创建了一个名为test的散列,相关操作函数如下:

  1. update() : 更新散列的内容,例如“u64 key=0,num=1;test.update(&key,&num);”,将num的值与key关联起来。

  2. delete() : 删除指定key,例如“u64 key=0;test.delete(&key);”,即删除key=0的列。

  3. lookup() : 获取指定key的值,如果对应的key没有值,则返回"NULL"。例如“u64 key=0,num;num=test.lookup(&key)”,获取key等于0的列的值。

bpf_ktime_get_ns() : 获取当前时间,精确到纳秒。例如“u64 ts=bpf_ktime_get_ns()”。

BPF_PERF_OUTPUT() : 命名输出管道。例如“BPF_PERF_OUTPUT(test)”,命名了一个名为"test"的管道。操作函数如下:

  1. perf_submit() : 将数据输出到perf环缓冲区读取。例如“test.perf_submit(ctx,&data,sizeof(data))”。ctx为函数的固定参数,data为自定义数据结构,最后一个参数为data的大小。

bpf_get_current_pid_tgid() : 获取当前进程pid和tgid,其中pid位于低32位,tgid位于高32位,对于多线程程序而言,tgid是相同的,需要用pid来区分。

bpf_get_current_comm() : 获取当前进程的进程名。例:

#include <linux/sched.h>
int hello()
{
    char comm[TASK_COMM_LEN];
    bpf_get_current_comm(&comm,sizeof(comm));
    return 0;
}

部分bcc函数说明****

BPF() : 用于执行bpf程序的主要函数,使用方法“b = BPF(text=C代码文本)”。将会返回一个引用,可以用通过此引用控制bpf程序。部分操作函数如下:

  1. trace_print() : 打印出trace_pipe管道的内容。例如“b.trace_print()”。

  2. get_syscall_fnname() : 获取指定系统调用函数名。例如“b.get_syscall_fnname("clone")”,返回“__x64_sys_clone”。

  3. attach_kprobe() : 将函数与内核事件关联,用于检测指定事件。例如“b.attach_kprobe(event=b.get_syscall_fnname("clone"), fn_name="hello")”,event指定事件,fn_name,指定bpf代码里的函数名,比如这里就是hello()函数。

  4. trace_fields() : 从trace_pipe返回一组固定格式的字段,与trace_print()类似,但是官方建议使用 BPF_PERF_OUTPUT()。使用方法“(task, pid, cpu, flags, ts, msg) = b.trace_fields()”,其中msg为bpf代码中向trace_pipe输出的数据。

  5. open_perf_buffer() : 打开perf缓冲区,并指定一个回调函数,当有数据时,自动使用该函数处理。

  6. perf_buffer_poll() : 等待perf缓冲区的内容。

  7. event() : 获取从 BPF_PERF_OUTPUT()传递的事件。使用方法如下所示:

    from bcc import BPF

b = BPF(text="""
//。。。bpf代码。。。
BPF_PERF_OUTPUT(events);
//。。。bpf代码。。。
"""
)
#。。。bcc代码。。。

#定义回调函数
def print_event(cpu, data, size)
    event = b["events"].event(data) #获取由bpf函数perf_submit输出的数据
    #。。。代码省略。。。

# 循环并回调到print_event
b["events"].open_perf_buffer(print_event)
while 1:
    b.perf_buffer_poll()

     

eBPF监控工具bcc系列八BPF C
weixin_34409822的博客
05-09 2583
在之前的bcc代码中我们知道其程序是分为两部分的,部分是C语言,另部分是基于Python的。本篇是关于C语言部分的。 1. 事件和参数 1.1 kprobes 使用kprobe的语法是: kprobe__kernel_function_name 其中kprobe__是前缀,用于给内核函数创建个kprobe(内核函数调用的动态跟...
篇文章深入浅出带你理解CCR,BCC数据包络模型
python_Daddy的博客
04-18 8078
在评价个企业整体的经营效率时,我们通常需要考虑多个投入指标和多个产出指标,本篇本章将介绍CCR、BCC数据包络模型,带你深入认识多投入多产出的效率评估。
BCC 数据异或校验
09-26
LabVIEW 2013编写BCC 数据异或校验,用于BCC数据校验码计算。
数据校验--BCC校验
tyustli
12-26 1万+
BCC(Block Check Character/信息组校验码)即异或校验法 1、使用范围:适用于大多数要求不高的数据通讯。 2、应用场景:IC卡接口通讯、很多单片机系统的串口通讯都使用。 3、实现步骤:很多基于串口的通讯都用这种既简单又相当准确的方法。它就是把所有数据都和个指定的初始值(通常是0)异或次,最后的结果就是校验值,通常把它附在通讯数据的最后起发送出去。接收方收到数据后自己也计...
eBPF在云原生监控中的源码级实践:从Cilium到BPF性能探针
最新发布
2501_91980039的博客
06-04 434
eBPF正在彻底变革云原生监控的技术栈。通过本文的源码级解读和实践方案,开发者可基于Cilium构建高性能数据平面,并利用最新内核特性开发低损耗探针。未来的eBPF将向更安全的热补丁(livepatch)、跨内核版本可移植(CO-RE)方向演进。
bcc打印调用函数和返回的时间
mishuang2017的博客
04-12 558
#!/usr/bin/python from __future__ import print_function from bcc import BPF import socket # load BPF program b = BPF(text=""" #include <linux/pci.h> BPF_PERF_OUTPUT(events); struct data_t { ...
Linux 内核时钟架构之时钟源读取计数
星空探索
03-24 2100
前面我们讲到,时钟源是给timekeeping使用的,timekeeping会定时更新,这就依赖timekeeping模块需要 读取clocksource的计数,计算时间流逝。然后对时间进行叠加,得到当前时间。   ktime_get() --->tk_core.timekeeper clocksource.read()     timekeeping_get_ns()--》
易语言-BCC校验(异或校验)计算
06-25
总结来说,易语言中的BCC校验(异或校验)是用于数据错误检测的种简单而有效的方法。它通过异或运算生成校验值,便于在数据传输前后进行对比,确保数据的完整性。易语言的BCC校验例程提供了个具体的实现参考,...
bcc:用于BlitzMax的下bcc解析器
01-28
总结,bcc是BlitzMax的重要组成部分,其下代版本致力于提供更高效、更强大的编译解决方案,为开发者带来更好的编程体验。通过深入理解和使用这个解析器,开发者不仅可以提升开发效率,还能更好地掌握编译器技术的...
bcc tools+火焰图两件套
03-21
7. **学习资源**:学习BCC和火焰图分析,可以通过官方文档、GitHub上的开源项目以及相关的技术博客获取资料。理解eBPF的工作原理和BCC工具的使用方法,能够提升系统调优的能力,对于提升软件性能和系统稳定性具有...
labview数据异或校验bcc工程包.zip
04-08
总结来说,这个LabVIEW工程包提供了个串口通信模块,其中包含了基于异或的简单数据校验功能。用户可以通过下载和使用这个模块,来确保其串口通信过程中的数据正确性和完整性。对于学习和应用LabVIEW进行串口通信...
eBPF监控工具bcc系列七开发脚本
weixin_33824363的博客
05-09 1084
bcc开发脚本有两种方式,种是基于python接口,另种是基于ruby接口,我们看的是基于python接口的。 本篇的前置条件是系统中已经安装好了bcc。 1. Hello world 输入代码如下: #!/usr/bin/env python from bcc import BPF BPF(text='int kprobe__sys_c...
BPF学习笔记(二)-- 基于BCCBPF示例程序
frankzfz的专栏
10-12 942
1. BPF_PERF_OUTPUT 创建BPF的table,通过Perf 的环形缓存区,把用户定义的event事件的数据推送到用户空间,这是把事件数据推送到用户空间的首选的方式。注意该打印函数会将信息输出到下面的文件中:/sys/kernel/debug/tracing/trace_pipe,通过跟踪该文件进行查看。4. 其实整个程序包含了两个部分,个是python的客户端,个是以字符串的形式bpf_text出现的插桩函数,使用C语言编写,整个测试程序包含了,用户空间和内核空间的代码。
c(void)
积累与备忘
10-12 253
这种写法不针对人,也不针对编译器,而是针对静态代码检测工具,它会把函数返回值作为项检测标准。就是无类型指针类型,他所指向的内存空间没有被认为是某种特定的类型。在代码中没有具体意义,只是告诉编译器该变量已经使用了。就是把ctx 指向的内存空间的个字节强制当作。表示程序并不关心调用该函数后的返回值是什么。就是把1写入j指向的那个字节空间。,便于跟j进行同类型比较, 所以。,意思是把j强制类型转换为。
bcc安装过程以及遇到的问题
shipinsky的博客
09-16 2914
bcc
运行第bpf 程序
龙瑜的博客
11-21 7955
上手 ebpf 直想学习下 ebpf 这个东东,最近买了本《Linux 内核观测技术 BPF》,准 备系统的研究下。 原以为有了书之后学起来就相当轻松了,可以我发现书上的第个例子就编译不 过。 书上只给了部分的源码,还需要去下载配套的 github 项目,这也没啥关系,不过下 载后编译也是编译不过。 编译不过的报错也不过是 types.h 头文件找不到,解决了头文件找不到的问题 后发现又有新的问题。 网上搜索了下发现基本上都是在介绍 ebpf xxx,没有看到篇讲如何上手 ebpf, 只能自己搞搞
解决python导包报错ImportError: cannot import name ‘xxx‘ from
空山新雨后,天气晚来秋
02-18 5万+
花了较长时间,最后发现循环引用导致。既然循环引用了,只要让让它们别循环引用就行。 那么解决掉循环引用的部分即可正常! 解决办法:1,拆解成多个文件,将要互相引用的分开 2,缩小导入的范围,如般情况下import在文件顶部,这时候可以将import移动到紧挨需要导入的代码上方即可; ...
万字解析Linux内核调试之动态追踪
youzhangjing_的博客
03-30 1012
动态追踪技术,是通过探针机制来采集内核或者应用程序的运行信息,从而可以不用修改内核或应用程序的代码,就获得调试信息,对问题进行分析、定位。通常在排查和调试异常问题时,我们首先想到的是使用 GDB 在程序运行路径上设置断点,然后结合命令进行分析定位;或者,在程序源码中增加系列的日志,从日志输出中寻找线索。不过,断点往往会中断程序的正常运行;而增加新的日志,往往需要重新编译和部署。在面对偶现问题以及对时延要求严格的场景下,GDB 和增加日志的方式就不能满足需求了。
Python异常处理:ImportError: cannot import name 'XXX' from 'XXXX'
热门推荐
qq_40916793的博客
08-10 11万+
在python IDE Pycharm中出现导入模块异常 异常显示为:ImportError: cannot import name ‘Style’ from ‘openpyxl.styles’ 异常分析:主要是 .py 文件路径的问题,当在同文件下,存在子文件内有同样命名的 .py文件时,编辑器就不能正确选择所要导入的是哪个文件下的模块,因此出现异常 异常处理:正确规范文件以及类、方法、...
BCC模型
03-20
关于BCC模型的具体定义,在当前提供的引用材料中并未提及。然而,基于已有的知识体系以及相关背景资料,可以推测BCC模型可能指代的是某种特定架构或者方法论,广泛应用于自然语言处理(NLP)、计算机视觉或其他子领域中的复杂任务。 以下是针对 **BCC模型在IT领域的应用** 的分析: ### BCC模型概述 尽管未提供具体描述,但从命名模式来看,“BCC”可能是某些缩写形式,例如“Bidirectional Contextualized Compression”的简称或者其他类似的术语组合。这种假设源于近年来深度学习框架下诸多创新性算法均采用简洁明了的字母串作为标志名称的习惯[^1]。 如果按照常规理解路径推断,则该类模型通常具备如下特性: - 双向上下文感知能力:能够同时利用前序与后续信息构建更精准表征; - 高效压缩机制:通过减少冗余参数量来提升计算效率并降低资源消耗; 以上两点共同构成了现代高效能AI解决方案的核心支柱之[^2]。 ### 应用场景举例说明 #### 自然语言处理(NLP) 在个典型文本分类项目里, 借助于预训练好的大规模语料库,BCC可能会被用来增强特征表达力从而改善最终预测效果. 这种做法类似于BERT等知名方案所倡导的技术路线图. ```python from transformers import BertTokenizerFast, TFBertModel tokenizer = BertTokenizerFast.from_pretrained('bert-base-uncased') model = TFBertModel.from_pretrained('bert-base-uncased') text = "Replace me by any text you'd like." encoded_input = tokenizer(text, return_tensors='tf') output = model(encoded_input) print(output.last_hidden_state.shape) # Output shape should match expected dimensions. ``` 上述代码片段展示了如何加载预先训练完成的基础版BERT模型实例,并对其进行简单调用操作过程演示[^3]. 值得注意的是虽然这里展示的例子使用了BERT而非所谓的"BCC",但实际上两者之间可能存在概念上的相似之处甚至继承关系因此可供参考借鉴. #### 图像识别(Computer Vision) 除了文字数据之外, 对象检测也是另个热门方向其中同样存在大量机会让类似原理发挥作用比如改进目标定位精度或是加速推理速度等方面都能见到相应成果体现出来. --- ### 结论部分总结陈词略去...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值