ftrace、kpatch、systemtap的基本原理、联系和区别

最新推荐文章于 2025-07-18 19:36:47 发布
最新推荐文章于 2025-07-18 19:36:47 发布
阅读量3.1k 收藏 7
点赞数
分类专栏: Android 动态调试 文章标签: ftrace kpatch systemtap
本文详细介绍了Linux内核调试、跟踪及在线升级工具ftrace、kpatch与systemTap的核心功能、工作原理及主要区别,通过对比分析帮助读者理解这些工具在内核开发与维护过程中的应用。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

1、ftrace
Linux当前版本中,功能最强大的调试、跟踪手段。其最基本的功能是提供了动态和静态探测点,用于探测内核中指定位置上的相关信息。
静态探测点,是在内核代码中调用ftrace提供的相应接口实现,称之为静态是因为,是在内核代码中写死的,静态编译到内核代码中的,在内核编译后,就不能再动态修改。在开启ftrace相关的内核配置选项后,内核中已经在一些关键的地方设置了静态探测点,需要使用时,即可查看到相应的信息。
动态探测点,基本原理为:利用mcount机制,在内核编译时,在每个函数入口保留数个字节,然后在使用ftrace时,将保留的字节替换为需要的指令,比如跳转到需要的执行探测操作的代码。

2、kpatch
kpatch是RedHat主导开发的“内核在线升级”工具,可在不重启系统、不中断业务的情况下实现内核在线升级。实现函数级别的执行流程替换。
其基本原理为:基于ftrace,类似于ftrace的动态探测点,利用mcount机制,在内核编译时,在每个函数入口保留数个字节,然后在打补丁时,将“被替换函数”入口保留的字节替换为跳转指令,跳转到kpatch的相关流程中,然后进入“新函数”的执行流程,实现函数级别的执行流程在线替换,最终实现“内核在线升级”的功能。

3、systemTap
另一个具有探测功能的工具,不得不提systemTap。
其原理跟ftrace不同,其基本原理为:在运行systemTap脚本时,动态解析内核,将指定探测点处的代码,替换为int 3指令,实现陷入,在陷入后实现相关信息的探测,探测完成后,int 3返回到原有的执行流程中执行。

4、ftrace和systemTap机制的主要区别
1)ftrace只能在函数入口(或出口?)实现探测,而systemTap可以在函数中的任意位置实现探测。

2)ftrace实现函数替换后,原有函数的执行流程被替换成新函数,新函数执行完成后可以不再返回原函数流程中执行。而systemTap利用的是int 3陷入机制,在探测后会自动跳转会原有流程执行。


原文地址: http://blog.chinaunix.net/uid-14528823-id-4567325.html

Ftrace实现原理
qq_35018427的博客
08-22 1809
ftrace实现原理
关于内核动态补丁技术(kpatch
11-19
kpatch是基于ftrace技术实现的,能够在运行时替换内核中的特定函数,而无需重启整个系统。 #### kpatch运行原理 kpatch的核心在于它能够实现在内核运行期间动态地替换特定的函数,这一过程涉及到函数的临时禁用...
ftrace 原理及使用
weixin_45731594的博客
12-27 1510
ftrace 原理及使用
ftrace系统实现原理
faxiang1230的专栏
08-02 4221
ftrace 首先trace是跟踪的意思,通常被运维或者性能优化的同学使用,用来跟踪系统的状态,从用户态程序到内核中的trace. trace相似的有profile(剖析),profile通常是周期性查询cpu上的当前指令地址,而trace通常是在执行路径上埋桩,执行过程中输出采集。 ftrace是function trace的简称,linux中trace的代名词,代表的是一个trace体系框架...
ftrace 原理详细分析
看我眼色行事的博客
08-03 1265
ftrace 机制实现分析,ftrace 为内核调试带来了全新的跟踪机制,基于此也衍生了更过的 tracer,如 irqsoff,premmptoff,blk,stacktrace 等等一些内核 trace 机制
一文搞懂 | Ftrace 的实现原理
Peter的专栏
09-05 1107
arm64 栈帧结构arm64 有31个通用寄存器 r0-r30,用法分别如下:寄存器意义SPStack Pointer: 栈指针r30Link Register: 在调用函数时候,保存下...
Linux内核kpatch介绍.pdf
05-12
需要注意的是,在使用kpatch时,某些工具如SystemTap或者kprobe可能与kpatch存在不兼容问题,导致kpatch无法正常工作,因此在使用kpatch时应避免同时使用这些工具。 至于kpatch的资源信息,用户可以通过Red Hat官方...
Ftrace Kernel Hooks-More than just tracing.pdf
10-22
它可以与其他工具机制集成,例如 Kprobes、Uprobes、Perf、Pstore SystemTap,提供了更加强大的问题诊断性能优化能力。 下面是 Ftrace 的一些关键概念技术: 1. Function Tracer:Function Tracer 是 ...
perf-tools:基于Linux perf_events(aka perf)ftrace的性能分析工具
02-18
Linux ftraceperf_events(又称“ perf”命令)的各种开发中不受支持的性能分析工具。 ftraceperf都是内核源代码中包含Linux核心跟踪工具。 您的系统可能已经有ftrace,并且perf通常只是一个软件包添加(请...
Ftrace 的实现原理
maimang1001的专栏
06-17 199
arm64 有31个通用寄存器 r0-r30,用法分别如下:下面以如下代码为例,说明它的栈帧结构: 其反汇编后的结果对应栈帧结构为:其详细步骤如下:每个函数在入口处首先会分配栈空间,且一次分配,确定栈顶,之后sp将不再变化;每个函数的栈顶部存放的是caller的栈顶指针,即fun1的栈顶存放的是main栈顶指针;对于最后一级callee函数,由于x29保存了上一级caller的栈顶sp指针,因此不在需要入栈保存,如示例中fun2执行时,此时x29指向fun1的栈顶sp以 blk_update_req
ftrace_latency.pdf
05-05
One of the difficult tasks analyzing Real-Time systems is finding a source/cause of an unexpected latency. Is the latency caused by the application or the kernel? Is it a wake up scheduling latency or a latency caused by interrupts being disabled, or is it a latency caused by preemption being disabled, or a combination of disabled interrupts and preemption. Ftrace has its origins from the -rt patch [1] latency tracer, and still carries the capabilities to track down latencies. It can catch the maximum wake up latency for the highest priority task. This wake up latency can also be tuned to only trace real-time processes. There is a latency tracer to find the latency of how long interrupts and/or preemption are disabled. The maximum latency is captured and you can even see the functions that were called in the mean time. Ftrace also has a rich array of tracing features that can help determine if latencies are caused by the kernel, or simply are a bi-product of an application.
ftrace原理分析
最新发布
greenandblue的专栏
07-18 584
ftrace原理分析
Linux追踪技术 ftrace 原理
小立仔
02-21 1902
Linux追踪技术 ftrace 原理简介
Linux内核追踪神器:Ftrace实现原理剖析
深度Linux
04-03 1086
在 Linux 内核这片深邃而神秘的技术海洋里,每一个系统进程的运行、每一次资源的调度,都像是在黑暗中上演的复杂剧目。内核开发者们时常面临着棘手难题:系统莫名卡顿,究竟是哪个内核函数在作祟?进程调度出现异常,问题根源又在何处?在漫长的探索历程中,开发者们急需一款强大的工具,能够像聚光灯一样,穿透重重迷雾,照亮内核运行的每一个角落。而 Ftrace,正是这样一款应运而生的 “内核追踪神器”。它从最初简单的函数跟踪器,逐步成长为功能丰富的跟踪框架,犹如一把万能钥匙,为开发者打开了深入探究内核奥秘的大门。
ftrace
u011011827的博客
09-17 468
function_graph跟踪器 的 config 配置 $ git show e93ae8919ebde855a16d9f02f2fb1fe59f1b33a9 commit e93ae8919ebde855a16d9f02f2fb1fe59f1b33a9 Author: lisider <1368317399@qq.com> Date: Thu Jan 10 08:26:3...
周立功:“芯片—终端—云”生态系统
Linux阅码场
12-13 1635
12月10日,50几位广州的Linuxer在广州心田庄园举行了Linux workshop。四大主题演讲,蜗窝大侠郭健主持。这是周立功老师的演讲slides。周立功老师激情演讲中:往期精选陈莉君教授: 回望踏入Linux内核之旅阿里杨勇:浅谈 Linux 高负载的系统化分析宋宝华: 论一个程序员问问题的自我修养(修订版)郭健: Linux进程调度技术的前世今生之“前世”郭健: Linux进程调度技
Linux性能分析神器ftrace:从原理到实战
深度Linux
02-01 815
ftrace,即 Function Trace 的缩写,是 Linux 内核自带的一款强大的跟踪工具。它诞生于 2008 年,由 Steven Rostedt 开发,并在 2.6.27 版本的内核中首次引入。最初,ftrace 只是一个简单的函数跟踪器,主要用于记录内核的函数调用流程,随着不断的发展完善,如今它已演变成一个功能丰富的跟踪框架,采用插件式的设计,支持开发者添加更多类型的跟踪功能,在 Linux 内核的开发与调试中发挥着不可或缺的作用。
Linux性能分析神器ftrace:从原理到实战(转)
oushaojun2的专栏
03-20 929
ftrace,即 Function Trace 的缩写,是 Linux 内核自带的一款强大的跟踪工具。它诞生于 2008 年,由 Steven Rostedt 开发,并在 2.6.27 版本的内核中首次引入。最初,ftrace 只是一个简单的函数跟踪器,主要用于记录内核的函数调用流程,随着不断的发展完善,如今它已演变成一个功能丰富的跟踪框架,采用插件式的设计,支持开发者添加更多类型的跟踪功能,在 Linux 内核的开发与调试中发挥着不可或缺的作用。
ftrace 的实现
lcw_202的专栏
02-24 1752
ftrace 的实现 研究 tracer 的实现是非常有乐趣的。理解 ftrace 的实现能够启发我们在自己的系统中设计更好的 trace 功能。 ftrace 的整体构架 Ftrace 的整体构架: 图 1. ftrace 组成 Ftrace 有两大组成部分,一是 framework,另外就是一系列的 tracer 。每个 tracer 完成不同的功能,它们统一由 fram
ptrace strace ltrace ftrace dtrace eBPF bcc bftrace SystemTap sysdig LTTng perf gperftools Valgrind
06-19
<think>我们面对的是一个系统跟踪性能分析工具的功能及用法对比需求。用户列出了多种工具:ptrace,strace,ltrace,ftrace,dtrace,eBPF,bcc,bpftrace,SystemTap,sysdig,LTTng,perf,gperftools,Valgrind。根据引用[1][2]的内容,我们了解到:引用[1]提到ftrace是Linux内核提供的跟踪机制,配置在/sys/kernel/debug/tracing目录,需要root权限。引用[2]详细对比了straceltrace在跟踪同一个socket程序时的差异:strace跟踪系统调用信号,输出格式为:进程号系统调用(参数)=返回值,并分析了文件描述符。ltrace跟踪库函数调用信号,输出格式类似,但只显示库函数。同时,引用[2]还通过实验比较了straceltrace的开销。用户上一次的问题是关于SystemTap的,我们给出了详细指南。现在用户希望对比多种工具。我们需要将这些工具按照功能、使用场景、用法特点等进行分类对比。注意:有些工具是基础工具(如ptrace),有些是构建在其上的工具(如strace、ltrace),有些是内核内置的(如ftrace、perf),有些是独立的(如Valgrind)。计划结构:1.概述:简要说明这些工具的分类(如动态跟踪、静态插桩、性能计数器等)。2.逐个工具介绍:每个工具的功能、典型用法、适用场景、优缺点。3.对比表格:从多个维度(如用户态/内核态、动态/静态、开销、易用性等)进行对比。4.使用建议:根据不同场景推荐工具。注意:由于工具众多,我们不可能每个都详细展开,但需要抓住重点,突出核心区别。特别说明:-ptrace:是系统调用,其他很多工具(如strace,ltrace)都是基于ptrace实现的。-eBPF是近年来Linux内核引入的技术,bccbpftrace是基于eBPF的工具。-SystemTapdtrace是功能强大的动态追踪工具,但dtrace主要用在SolarisBSD,Linux上通过SystemTap实现类似功能。我们将按照以下顺序组织:1.基础跟踪工具(ptrace,strace,ltrace)2.内核跟踪工具(ftrace,perf)3.动态追踪工具(dtrace,SystemTap,eBPF及相关工具bcc,bpftrace)4.其他工具(sysdig,LTTng,gperftools,Valgrind)注意:Valgrind主要用于内存检测,但也包含性能分析工具(如Callgrind)。由于内容较多,我们将重点放在功能对比典型用法上,避免冗长的安装步骤。下面开始组织内容。</think>### Linux 系统跟踪与性能分析工具全对比 以下从 **功能定位**、**技术原理**、**典型用法** **适用场景** 四个维度进行系统化对比: --- #### 一、核心工具分类 | **类型** | **代表工具** | **核心功能** | |-------------------|---------------------------------------|-------------------------------------------| | **系统调用追踪** | `strace`/`ltrace` | 进程级系统调用/库函数追踪 | | **内核事件追踪** | `ftrace`/`perf` | 内核函数/调度器/中断跟踪 | | **动态探针** | `SystemTap`/`eBPF`/`dtrace` | 无源码级内核/用户态动态插桩 | | **内存分析** | `Valgrind`/`gperftools` | 内存泄漏/越界检测 | | **全栈追踪** | `LTTng`/`sysdig` | 跨进程/容器级调用链追踪 | --- #### 二、详细功能与用法对比 **1. 基础追踪工具** | 工具 | 原理 | 典型命令 | 输出示例 | 开销 | |------------|-------------------|-----------------------------------|-----------------------------------|------------| | **strace** | `ptrace`系统调用 | `strace -f -T -e trace=open,read` | `open("file", O_RDONLY) = 3 <0.2ms>` | 高 (200μs+) [^2] | | **ltrace** | `ptrace` | `ltrace -c ./program` | `printf("test") = 5` | 高 (200μs+) [^2] | | **ptrace** | 内核调试接口 | 直接编程使用 | 自定义 | 极高 | **2. 内核级追踪** | 工具 | 技术原理 | 典型用法 | 优势 | |--------------|---------------------------|-----------------------------------------------|-------------------------------| | **ftrace** | 内核编译插桩 | `echo function > /sys/kernel/debug/tracing/current_tracer` | 零开销采样 [^1] | | **perf** | 硬件性能计数器 | `perf record -g -p 1234` | 硬件级精确采样 | | **LTTng** | 内核模块+用户态守护进程 | `lttng create my_session` | 低开销全系统追踪 | **3. 动态探针工具** $$ \text{动态探针工具对比} = \begin{cases} \text{SystemTap:} & \text{Kprobes+模块编译} \\ \text{eBPF:} & \text{BPF虚拟机+JIT编译} \\ \text{dtrace:} & \text{Solaris原生(Linux有限支持)} \end{cases} $$ | 工具 | 探针类型 | 脚本示例 | 容器支持 | |---------------|---------------------------|-------------------------------------------|----------| | **SystemTap** | Kprobes/Uprobes | `probe syscall.open { println(pid()) }` | 受限 | | **eBPF** | Kprobes/Uprobes/tracepoint| `BPF_PERF_OUTPUT(events)` | 完善 | | **bpftrace** | eBPF封装 | `bpftrace -e 'k:vfs_read { @[comm]++ }'` | 完善 | | **bcc** | eBPF+Python封装 | Python编写eBPF程序 | 完善 | **4. 高级分析工具** | 工具 | 核心功能 | 典型用法 | 独特优势 | |-----------------|-------------------------------|-------------------------------|---------------------------| | **sysdig** | 容器感知系统追踪 | `sysdig -c topprocs_cpu` | 容器内进程可视化 | | **Valgrind** | 内存错误检测 | `valgrind --leak-check=yes` | 堆内存越界精确检测 | | **gperftools** | CPU/Memory profiler | `pprof --web ./prog prof.dat` | 低开销生产环境可用 | --- #### 三、性能开销对比 $$ \text{开销排序} : \text{ftrace} \approx \text{perf} < \text{eBPF} < \text{SystemTap} \ll \text{strace} \approx \text{Valgrind} $$ ```mermaid graph LR A[ftrace/perf] -->|~1μs| B[eBPF] B -->|~5μs| C[SystemTap] C -->|~50μs| D[strace/ltrace] D -->|~500μs| E[Valgrind] ``` --- #### 四、场景化推荐 1. **实时生产环境** - 低开销采样:`perf stat` / `ftrace function_graph` - 安全动态追踪:`eBPF` / `bpftrace` ```bash bpftrace -e 'k:__x64_sys_open { printf("%s opened %s\n", comm, str(arg1)) }' ``` 2. **深度内核调试** - 函数调用链:`ftrace` - 动态行为分析:`SystemTap -g` (Guru模式) ```stap probe kernel.function("tcp_v4_connect") { printf("PID %d connecting to %s\n", pid(), ipstr($daddr)) } ``` 3. **内存问题排查** - 内存泄漏:`Valgrind --leak-check=full` - 堆分析:`gperftools HEAPPROFILE` 4. **容器环境** - 全栈追踪:`sysdig -c spy_users` - 网络分析:`eBPF + tcplife` --- #### 五、可视化集成 ```bash # 生成火焰图 perf record -F 99 -g -p 1234 perf script | ./FlameGraph/stackcollapse-perf.pl | ./FlameGraph/flamegraph.pl > perf.svg # eBPF 实时仪表盘 python -m bcc.dashboard ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值