如何监控EBPF

于 2025-05-24 10:30:40 发布
阅读量804 收藏 22
点赞数 8
CC 4.0 BY-SA版权
分类专栏: 面试 linux 文章标签: ebpf bpftool perf
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/unbuntu_luo/article/details/148045704

eBPF(Extended Berkeley Packet Filter)是一种强大的内核技术,允许在不修改内核源代码的情况下,运行安全、可验证的代码来监控和操作内核的各个方面。eBPF能够用于网络流量过滤、性能分析、系统安全、跟踪和调试等多个领域。

要监控和使用eBPF,有几个常用的工具和方法,可以帮助你跟踪eBPF程序的运行、性能以及调试。

1. 使用 bpftool 监控 eBPF

bpftool 是一个原生的工具,用于与 eBPF 程序和对象交互。它可以显示当前系统中加载的所有 eBPF 程序、BPF maps、BPF文件系统挂载点等信息。

安装 bpftool

大多数现代Linux发行版可以直接通过包管理器安装bpftool。以Ubuntu为例:

sudo apt-get install bpftool
使用 bpftool 查看 eBPF 程序
  • 查看所有加载的 eBPF 程序
sudo bpftool prog show

这将列出所有已加载到内核中的 eBPF 程序及其相关信息。

  • 查看 eBPF maps
sudo bpftool map show

eBPF maps 用于在用户态与内核态之间共享数据,bpftool可以显示当前系统中所有的eBPF maps。

  • 附加和分离 eBPF 程序: 使用bpftool还可以将eBPF程序附加到不同的挂钩点(例如网络接口、系统调用),或将其分离:
sudo bpftool prog load <prog-file> /sys/fs/bpf/<prog-name>
sudo bpftool prog attach /sys/fs/bpf/<prog-name> xdp dev <interface>

2. 使用 bcc 工具集

bcc(BPF Compiler Collection)是一个高级的eBPF工具集,包含了许多预构建的工具,用于调试、性能分析和网络监控。

安装 bcc 工具集

可以通过包管理器安装bcc工具集(以Ubuntu为例):

sudo apt-get install bpfcc-tools linux-headers-$(uname -r)
常用的 bcc 工具
  • execsnoop:监控系统中执行的命令:
sudo execsnoop
  • biosnoop:监控块设备的I/O操作:
sudo biosnoop
  • tcplife:显示TCP连接的生命周期信息:
sudo tcplife
  • xdpdump:用于捕获和分析XDP(eXpress Data Path)上的网络数据包:
sudo xdpdump

3. 使用 bpftrace 进行高级监控

bpftrace 是一个类似于DTrace的高级工具,允许用户编写小脚本来定义复杂的监控和分析任务。

安装 bpftrace

以Ubuntu为例,可以使用以下命令安装:

sudo apt-get install bpftrace
编写简单的 bpftrace 脚本
  • 监控所有进程启动
sudo bpftrace -e 'tracepoint:syscalls:sys_enter_execve { printf("PID %d called execve: %s\n", pid, str(args->filename)); }'

这个脚本会打印出所有调用execve系统调用的进程ID和执行的文件名。

  • 监控文件打开操作
sudo bpftrace -e 'tracepoint:syscalls:sys_enter_openat { printf("File opened: %s\n", str(args->filename)); }'
  • 监控内核函数调用时间: 监控特定内核函数的执行时间:
sudo bpftrace -e 'kprobe:vfs_read { @start[tid] = nsecs; } kretprobe:vfs_read { @time[tid] = nsecs - @start[tid]; }'

4. 使用 perf 结合 eBPF

perf 是一个广泛使用的Linux性能分析工具,它支持eBPF并且可以用于复杂的性能事件跟踪。

安装 perf

在大多数Linux发行版中,可以使用以下命令安装:

sudo apt-get install linux-tools-$(uname -r)
使用 perf 结合 eBPF
  • 监控系统调用
sudo perf trace -e 'syscalls:sys_enter_*'
  • 跟踪内核函数: 可以使用perf来跟踪内核函数调用,并结合eBPF进行进一步的分析。

5. 查看 eBPF 系统日志和 /sys 文件系统

  • 系统日志:使用dmesg和journalctl查看eBPF加载的日志和错误信息:
dmesg | grep -i bpf
  • /sys/fs/bpf**** 文件系统:eBPF程序和maps可以挂载在/sys/fs/bpf中,你可以直接查看这些对象。

6. 总结

通过使用bpftool、bcc、bpftrace和perf等工具,你可以有效地监控和分析eBPF程序在Linux系统中的行为。这些工具不仅帮助你理解系统内部的行为,还可以优化性能、增强安全性以及进行实时的系统调试。

🔥运维干货分享

Buzzer:一款针对eBPF的安全检测与模糊测试工具
FreeBuf_的博客
09-05 1476
Buzzer是一款功能强大的模糊测试工具链,该工具基于Go语言开发,可以帮助广大研究人员简单高效地开发针对eBPF的模糊测试策略。
应用监控 eBPF 版:实现高效协议解析的技术探索
阿里云云栖号
02-28 1476
随着 Kuberentes 等云原生技术的飞速发展,带来了研发与运维模式的变革。企业软件架构由单体服务向分布式、微服务演进。随着业务发展,多语言、多框架、多协议的微服务在企业中越来越多,软件架构复杂度越来越高,如何快速通过可观测工具快速定位出问题对研发人员至关重要。
基于Linux bpf跟踪文件读写
qq_42931917的博客
12-26 5221
基于Linux bpf跟踪文件读写 一、Ubuntu 20.04环境搭建 [eBPF/Ubuntu 18.04 LTS源码构建bcc.md at master · linuxkerneltravel/eBPF · GitHub](https://github.com/linuxkerneltravel/eBPF/blob/master/Install-BCC/Ubuntu 18.04 LTS源码构建bcc.md) 二、文件打开监控 这里我们监控内核通用块层的vfs_read()函数: 打印打开文件的Pi
eBPF uprobe 跟踪动态库中的函数
最新发布
Linux内核研究者
03-11 920
本文介绍了使用eBPF的`uprobe`机制来跟踪动态库中的函数调用,特别是针对`libc.so.6`中的`mkdir()`函数。通过`libbpf`自动解析符号地址并附加到目标函数,文中详细讲解了如何定义eBPF程序以捕获函数调用时的参数和进程信息,并通过`bpf_perf_event_output()`将这些信息发送至用户态进行处理。此外,还展示了如何利用Go语言加载和附加eBPF程序,包括自动化与手动指定符号地址的方法。
基于ebpf的性能工具-bpftrace
Rice开发经验分享
10-16 449
这篇文章介绍一个基于ebpf技术的强大工具–bpftrace。在现代计算机系统中,了解系统的内部运行情况对于诊断问题、优化性能以及进行安全监控至关重要。bpftrace作为一款强大的跟踪工具,为开发人员和系统管理员提供了一种独特的方式来监视和分析Linux系统的内部运行。本文描述bpftrace的原理和使用。
擎创技术流 | 深入浅出运维可观测工具(一):聊聊eBPF的前世今生
智能运维及数据中台探索
07-27 475
这是因为 eBPF 增加了内核的可扩展性,让内核变得更加灵活和强大。如果大家玩过乐高积木的话就会深有体会,乐高积木就是通过不断向主体添加积木来组合出更庞大的模型。而 eBPF 就像乐高积木一样,可以不断向内核添加 eBPF 模块来增强内核的功能。
bpf,ebpf,libbpf,在ubuntu22中ebpf工具的安装和介绍(libbpf_bootstarp,eunomia-bpf,bpftiime),关系总结,ebpf程序执行流程
m0_74206992的博客
03-27 1661
bpf,ebpf,libbpf,ebpf工具的安装和介绍(libbpf_bootstarp,eunomia-bpf,bpftiime),关系总结,ebpf程序执行流程
eBPF实战教程七 | 性能监控工具—bpftop
DBdoctor_off的博客
10-09 1113
bpftop是一个强大的工具,使用bpftop工具可以直观地监控系统中正在运行的eBPF程序,极大提升了开发eBPF程序时对其自身性能优化的效率。
Linux eBPF:网络、系统监控和安全领域的创新
望获实时Linux系统
05-29 1654
eBPF利用其在网络监控和拦截方面的优势,可实现动态可定义的内核态网络安全:eBPF可以在内核态实时监控网络流量和数据包,并且根据事先定义的规则进行拦截和处理。随着时间的推移,eBPF的功能和应用场景不断扩展,如今已成为网络、系统监控和安全等领域的重要工具。通过在目标内核函数的入口或出口处插入探针,eBPF 程序可以捕获函数调用和返回的参数、返回值等信息,从而实现对内核行为的监控和分析。通过在代码中插入特定的标记,eBPF 程序可以挂接到这些跟踪点,并捕获与应用程序相关的数据,以实现更细粒度的观测和分析。
Tetrate刘晗:SkyWalking原生eBPF探针实战
m0_46700908的博客
05-24 5631
eBPF可从内核态和用户态两个层面监控系统,以全局视角进行操作
SkyWalking峰会:v9解密+BanyanDB首发+eBPF探针+K8s监控实践+函数计算可观测
m0_46700908的博客
05-10 1903
SkyWalking,为微服务保驾护航
Cilium 开源 Tetragon – 基于 eBPF 的安全可观测性 & 运行时增强
云原生实验室
05-18 1415
❝原文链接????:https://isovalent.com/blog/post/2022-05-16-tetragon译文原文链接????:https://icloudnative.io/posts/tetragon/ 请复制到浏览器打开译者:米开朗基杨、范彬Isovalent Cilium 企业版[1] 包含一个基于 eBPF 的实时安全可观测性和运行时增强(runtime e...
eBPF学习笔记(二)—— eBPF开发工具
lzyddf的博客
11-14 3274
本篇记录对bpftrace、BCC、libbpf等eBPF常用开发工具的基本使用。
eBPF 入门开发实践指南一:介绍 eBPF 的基本概念、常见的开发工具
云微的blog
01-23 1531
Linux内核一直是实现监控/可观测性、网络和安全功能的理想地方,但是直接在内核中进行监控并不是一个容易的事情。在传统的Linux软件开发中,实现这些功能往往都离不开修改内核源码或加载内核模块。修改内核源码是一件非常危险的行为,稍有不慎可能便会导致系统崩溃,并且每次检验修改的代码都需要重新编译内核,耗时耗力。
一文看懂eBPFeBPF的使用(超详细)
youzhangjing_的博客
04-14 3999
eBPF(extended Berkeley Packet Filter) 可谓 Linux 社区的新宠,很多大公司都开始投身于 eBPF 技术,如 Goole、Facebook、Twitter 等。 eBPF 究竟有什么魅力让大家都关注它呢? 这是因为 eBPF 增加了内核的可扩展性,让内核变得更加灵活和强大。 如果大家玩过 乐高积木 的话就会深有体会,乐高积木就是通过不断向主体添加积木来组合出更庞大的模型。 而 eBPF 就像乐高积木一样,可以不断向内核添加 ..
基于eBPF检测反弹shell 的思路
李老板的移动安全杂货铺
12-02 1144
本文使用C语言编写一个eBPF模块来检测反弹shell,该模块使用Linux内核提供的eBPF(extended Berkeley Packet Filter)功能来实现。下面是一个简单的示例,展示了如何编写一个eBPF程序来检测反弹shell。这只是一个简单的示例,实际上,检测和防止反弹shell可能需要更复杂的逻辑和规则。确保在进行实际的应用程序时进行更严格和全面的测试,并且只在可信的环境中使用此功能。完成后,eBPF程序就会在指定的网络接口上运行,并且会在检测到反弹shell的尝试时打印相应的消息。
eBPF学习 - 入门
成长之路
04-17 2527
BPF和eBPF是什么? BPF是Berkeley Packet Filter(伯克利数据包过滤器)得缩写,诞生于1992年,其作用是提升网络包过滤工具得性能,并于2014年正式并入Linux内核主线。 BPF提供一种在各种内核事件和应用程序事件发生时允许运行一小段程序的机制,使得内核完全可编程,允许用户定制和控制他们的系统以解决相应的问题。 BPF是一项灵活而高效的技术,由指令集、存储对象和辅助函数等几部分组成。其采用了虚拟指令集规范,运行时BPF模块提供两个执行机制:解释器和即时编译器(JIT)。在实际
ebpfkit:利用eBPF技术的强力安全工具
gitblog_00167的博客
08-16 527
ebpfkit:利用eBPF技术的强力安全工具 项目介绍 ebpfkit是一个基于eBPF(Extended Berkeley Packet Filter)的强大开源根套件,由独立开发者 Datadog 员工创建,并曾在Black Hat USA 2021和DEF CON 29上亮相。它整合了多种安全功能,包括但不限于文件操作掩饰、容器越界、持续接入能力,以及绕过Runtime Applicati...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

企鹅侠客

您的打赏是我创作旅程中的关键燃

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值