eBPF 入门开发实践指南六：捕获进程发送信号的系统调用集合，使用 hash map 保存状态

云微123

于 2023-01-23 19:50:30 发布

阅读量1.6k

点赞数 1

CC 4.0 BY-SA版权

分类专栏： linux 文章标签：哈希算法算法 linux ebpf 服务器

本文链接：https://blog.youkuaiyun.com/qq_42779423/article/details/128753755

本文介绍了如何使用eBPF在Linux内核中动态加载和运行用户代码，监控kill、tkill和tgkill系统调用，捕获进程发送信号的信息。通过hashmap保存状态，并在系统调用退出时打印相关信息。文章提供了一个示例代码，展示了如何定义探针函数、使用bpf_mapAPI以及编译和运行eBPF程序的方法。

摘要生成于 C知道，由 DeepSeek-R1 满血版支持，前往体验 >

eBPF (Extended Berkeley Packet Filter) 是 Linux 内核上的一个强大的网络和性能分析工具，它允许开发者在内核运行时动态加载、更新和运行用户定义的代码。

本文是 eBPF 入门开发实践指南的第六篇，主要介绍如何实现一个 eBPF 工具，捕获进程发送信号的系统调用集合，使用 hash map 保存状态。

sigsnoop

示例代码如下：

#include <vmlinux.h>
#include <bpf/bpf_helpers.h>
#include <bpf/bpf_tracing.h>

#define MAX_ENTRIES 10240
#define TASK_COMM_LEN 16

struct event {
   
   
 unsigned int pid;
 unsigned int tpid;
 int sig;
 int ret;
 char comm[TASK_COMM_LEN];
};

struct {
   
   
 __uint(type, BPF_MAP_TYPE_HASH);
 __uint(max_entries, MAX_ENTRIES);
 __type(key, __u32);
 __type(value, struct event