【eBPF】使用bcc构建tracepoint程序

最新推荐文章于 2025-06-10 19:11:50 发布
原创 最新推荐文章于 2025-06-10 19:11:50 发布 · 954 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#内核 #linux #bpf #python

前言

Tracepoint Programs是一类典型的eBPF程序。

《Linux Observability with BPF》一书中这样介绍Tracepoint Programs:

This type of program allows you to attach BPF programs to the tracepoint handler provided by the kernel. Tracepoint programs are defined with the type BPF_PROG_TYPE_TRACEPOINT. As you’ll see in Chapter 4, tracepoints are static marks in the kernel’s codebase that allow you to inject arbitrary code for tracing and debugging purposes. They are less flexible than kprobes, because they need to be defined by the kernel beforehand, but they are guaranteed to be stable after their introduction in the kernel. This gives you a much higher level of predictability when you want to debug your system.

简而言之,Trace point程序是一类不如kprobe灵活,但引入内核后保证稳定的程序。所有的trace point点需要由内核事先定义,所有的跟踪点都在/sys/kernel/debug/tracing/events中定义。

接下来,我们使用BCC构建一个Trace Point程序。

BCC程序与简要解析

程序来自bcc的官方例子:examples/tracing/urandomread.py

from __future__ import print_function
from bcc import BPF

# load BPF program
b = BPF(text="""
TRACEPOINT_PROBE(random, urandom_read) {
    // args is from /sys/kernel/debug/tracing/events/random/urandom_read/format
    bpf_trace_printk("%d\\n", args->got_bits);
    return 0;
}
""")

# header
print("%-18s %-16s %-6s %s" % ("TIME(s)", "COMM", "PID", "GOTBITS"))

# format output
while 1:
    try:
        (task, pid, cpu, flags, ts, msg) = b.trace_fields()
    except ValueError:
        continue
    print("%-18.9f %-16s %-6d %s" % (ts, task, pid, msg))
  1. TRACEPOINT_PROBE(random, urandom_read): 启动内核跟踪点。根据目录/random/urandom_read输入参数。
  2. args->got_bits: 自动生成的参数,每个event的参数各有不同,见下文。

运行结果示例:
在这里插入图片描述
urandomread的参数设置如下:

输入

cat /sys/kernel/debug/tracing/events/random/urandom_read/format

得到:

name: urandom_read
ID: 1239
format:
	field:unsigned short common_type;	offset:0;	size:2;	signed:0;
	field:unsigned char common_flags;	offset:2;	size:1;	signed:0;
	field:unsigned char common_preempt_count;	offset:3;	size:1;	signed:0;
	field:int common_pid;	offset:4;	size:4;	signed:1;

	field:int got_bits;	offset:8;	size:4;	signed:1;
	field:int pool_left;	offset:12;	size:4;	signed:1;
	field:int input_left;	offset:16;	size:4;	signed:1;

print fmt: "got_bits %d nonblocking_pool_entropy_left %d input_entropy_left %d", REC->got_bits, REC->pool_left, REC->input_left

从最后一行可以看到,可以输出go_bits,pool_left,input_left三个参数。

Trace Point 举一反三

由官方例子可以得到构建一个trace point程序的流程:

首先,查看想要跟踪的event的输出格式。此处以/tcp/tcp_receive_reset跟踪点为例:

cat /sys/kernel/debug/tracing/events/tcp/tcp_receive_reset/format

得到:

name: tcp_receive_reset
ID: 1467
format:
	field:unsigned short common_type;	offset:0;	size:2;	signed:0;
	field:unsigned char common_flags;	offset:2;	size:1;	signed:0;
	field:unsigned char common_preempt_count;	offset:3;	size:1;	signed:0;
	field:int common_pid;	offset:4;	size:4;	signed:1;

	field:const void * skaddr;	offset:8;	size:8;	signed:0;
	field:__u16 sport;	offset:16;	size:2;	signed:0;
	field:__u16 dport;	offset:18;	size:2;	signed:0;
	field:__u8 saddr[4];	offset:20;	size:4;	signed:0;
	field:__u8 daddr[4];	offset:24;	size:4;	signed:0;
	field:__u8 saddr_v6[16];	offset:28;	size:16;	signed:0;
	field:__u8 daddr_v6[16];	offset:44;	size:16;	signed:0;
	field:__u64 sock_cookie;	offset:64;	size:8;	signed:0;

print fmt: "sport=%hu dport=%hu saddr=%pI4 daddr=%pI4 saddrv6=%pI6c daddrv6=%pI6c sock_cookie=%llx", REC->sport, REC->dport, REC->saddr, REC->daddr, REC->saddr_v6, REC->daddr_v6, REC->sock_cookie

此处选择sport这一参数输出,若想输出多个参数,可以使用PERF结构,本文为了方便仍使用printk方法进行输出。

其次,构建相应的bcc程序:

#!/usr/bin/python
#
# urandomread  Example of instrumenting a kernel tracepoint.
#              For Linux, uses BCC, BPF. Embedded C.
#
# REQUIRES: Linux 4.7+ (BPF_PROG_TYPE_TRACEPOINT support).
#
# Test by running this, then in another shell, run:
#     dd if=/dev/urandom of=/dev/null bs=1k count=5
#
# Copyright 2016 Netflix, Inc.
# Licensed under the Apache License, Version 2.0 (the "License")

from __future__ import print_function
from bcc import BPF
from bcc.utils import printb

# load BPF program
b = BPF(text="""
TRACEPOINT_PROBE(tcp, tcp_receive_reset) {
    // args is from /sys/kernel/debug/tracing/events/tcp/tcp_receive_reset/format
    bpf_trace_printk("%u\\n", args->sport);
    return 0;
}
""")

# header
print("%-18s %-16s %-6s %s" % ("TIME(s)", "COMM", "PID", "sport"))

# format output
while 1:
    try:
        (task, pid, cpu, flags, ts, msg) = b.trace_fields()
    except ValueError:
        continue
    except KeyboardInterrupt:
        exit()
    printb(b"%-18.9f %-16s %-6d %s" % (ts, task, pid, msg))

最后,运行程序:
在这里插入图片描述
成功运行。

Introductionto eBPF and BCC Creating powerful instrumentation
AI天才研究院
07-28 1103
eBPF(extended Berkeley Packet Filter)2012年提出的一种虚拟机,可以对Linux内核中的网络数据包进行高级过滤、修改、收集等操作,并且是安全且免费的。BCC(Berkeley Cloud Computing Compiler),是由该团队开发的一套工具链,用于编译、加载并运行eBPF程序。同时,Rust编程语言也成为容器编排领域的主要选择,很多公司在使用Rust开发容器云平台时都会用到这个工具。
基于eBPF/BCC的网络工具原理分析报告
weixin_39145568的博客
04-09 1095
本报告将首先阐述eBPFBCC在网络监控中的核心作用,包括关键的eBPF概念(程序、挂钩、映射)和BCC框架的角色。随后,将对所涉及的BCC网络工具进行功能分类,并提供一个概要性的总结表格。接着,报告将深入剖析若干关键工具(特别是tcpstates和tcptop)的实现原理,包括它们的目标、使用eBPF挂钩、收集的数据以及BPF映射的应用。之后,将结合网络协议栈分层模型,解释BCC工具如何在不同层面挂载探针。报告还将总结BCC/eBPF网络监控的核心机制与优势,并提取可能存在的与传统工具的对比信息。
AOSP平台编写Android-ebpf程序(tracepoint)的一些map定义和使用问题,导致map和prog无法产生的原因。
m0_68715848的博客
03-19 1411
我们重启手机之后发现只产生了三个map,且prog没有产生:由于map的产生是根据内核态定义的顺序来的,所以就是到第四个map出现了问题,也就是我们刚刚修改的map,这里的原因暂且不清楚,之前猜测可能是因为大小超出了限制的原因,然而实际上修改为1024也不能产生,然而time_in_state中其实用到了ARRAY来传递结构体的:现在猜测可能是因为array是连续的数组,而hash是一个散列表可能是索引错误的原因,这里后面在做尝试吧。目前测试的结果,只要是使用结构体作value值的话,
ebpf tracepoint 功能分析
already_skb的专栏
02-19 1791
1. 查看系统支持的所有tracepoint find /sys/kernel/debug/tracing/events -type d 可以查看到当前系统支持的所有tracepoint函数点,大家在利用tracepoint功能的时候最好先看看对应的子系统在那些地方有hook点,评估是否能满足功能。比如说你想内视TCP协议栈,那么你可以先tcp trace 支持那些功能: [root@xxx tcp]# ls /sys/kernel/debug/tracing/events/tcp enable t..
eBPF(4)--tracepoint程序类型
pigstor的博客
06-10 331
BPFtrace跟踪点上下文解析方法》 摘要: 本文介绍了BPFtrace中跟踪点(tracepoint)的上下文处理方法。首先通过bpftrace -l "tracepoint:*:*"命令列出所有可用插桩点,然后通过系统文件查看具体跟踪点的上下文格式。文章详细说明了两种处理上下文的方式:1)自定义结构体方法,需根据/sys/kernel/tracing/events下的事件格式文件重构上下文结构体;2)使用vmlinux.h预定义的结构体,但需注意并非所有跟踪点都有预定义结构。
eBPF内核实现之TRACING
qq_17045267的博客
07-06 3433
eBPF目前被广泛应用于Linux系统中的各个领域,包括网络、安全、性能、调测等。其中,内核trace算是eBPF比较早所支持的特性。最早的用于内核trace的eBPF类型当属,即机制提供的对eBPF的支持,使得eBPF程序可以以内核函数动态插桩的方式来进行内核trace。随着时代的发展,目前可用于trace的eBPF类型和能够实现的功能也越来越丰富,包括、、等eBPF类型。那么内核提供的这些eBPF类型的实现和用途有什么区别,适用于哪些场景呢?我们来一探究竟。......
Linux内核 eBPF基础:Tracepoint原理源码分析
RToax
05-10 3565
Linux内核 eBPF基础 Tracepoint原理源码分析 荣涛 2021年5月10日 1. 基本原理 需要注意的几点: 本文将从sched_switch相关的tracepoint展开; 关于static_key,请详见本博客jump-label相关文章Linux Jump Label(x86)、Linux Jump Label/static-key机制详解; 可参见内核注释版代码:https://github.com/Rtoax/linux-5.10.13 1.1. 源码头文件结构 首先看t
Eunomia: 让 ebpf 程序的分发和使用像网页和 web 服务一样自然
云微的blog
08-18 1035
Eunomia 想要探索一条全新的路线:在本地编译或者远程服务器编译之后,使用 http RESTful API 直接进行 ebpf 字节码的分发,在生产环境最小仅需 4 MB 的运行时,约 100ms 的时间和微不足道的内存、CPU 占用即可实现 ebpf 代码动态分发、热加载、热更新,不受内核版本限制,不需要在生产环境中安装底层库(如 LLVM、python 等)、搭建环境即可启动;......
ptrace strace ltrace ftrace dtrace eBPF bcc bftrace SystemTap sysdig LTTng perf gperftools Valgrind
最新发布
06-19
| **bcc** | eBPF+Python封装 | Python编写eBPF程序 | 完善 | **4. 高级分析工具** | 工具 | 核心功能 | 典型用法 | 独特优势 | |-----------------|-------------------------------|---------------------------...
gobpf: Go语言绑定与eBPF程序的加载和使用
gobpf库作为eBPF技术的go语言封装,提供了go绑定,使开发者能够更加便捷地从.elf文件加载和使用eBPF程序。接下来将详细解析此文件提供的知识点。 ### 知识点一:eBPF技术概述 eBPF最初是作为Linux内核的一个子系统...
动态控制eBPF程序加载:检查 Tracepoint、Kprobe是否存在
2401_84703565的博客
06-02 1101
eBPF 程序开发中,确保程序能够在各种不同的系统配置中兼容运行是至关重要的。本文将详细介绍一个方案,通过动态检查Tracepoint、Kprobe是否存在,并结合libbpf的API接口控制 eBPF 程序的加载。这种方法不仅可以提升程序的灵活性,还能提高其在不同内核版本和系统配置中的兼容性。检查指定的 Tracepoint 是否存在;检查指定的 Kprobe 是否存在;
BPF学习笔记(七)-- 静态跟踪点tracepoint
frankzfz的专栏
01-01 763
通过对内核中相关的文件进行分析, 在kernel/bpf/syscall.c文件中,我们可以看到其中提交的一个commit,去掉对bpf_prog_load的tracepoint使用git show 4d220ed 显示下面的信息。》中第4章节中的案例中,有一个tracepoint bpf_prog_load的实例,在我自己的云主机上,执行不通过。通过上面的查看,是在内核4.18之后的内核删除了。上面的程序bpf_prog_load的函数中添加一个添加一个tracepoint点。
bpf tracepoint脚本
qq_23868387的博客
12-28 289
【代码】bpf tracepoint脚本。
跟踪点tracepoints介绍
M120674的专栏
12-14 951
一 功能 用来对内核进行静态插桩,我们可以在内核函数的特定逻辑位置处,放置插桩点。这些插桩点及其回调函数会被编译到内核镜像中 二 添加tracepoints及使用 不同版本内核,有不同的方式,如: (1)TRACE_EVNET (2)DECLARE_TRACE 具体可以参考如下文档: https://elixir.bootlin.com/linux/v4.17.18/source/Documentation/trace/tracepoints.rst tracepoint-analysis.
使用 Linux tracepoint、perf 和 eBPF 跟踪数据包
hao_wujing的专栏
01-12 1232
接下来我们从一个简单的 hello world 例子展示如何在底层打点。netif_rx每当网络包经过这些点,我们的处理逻辑就会触发。为保持简单,我们的处理逻辑只是将程 序的comm字段(16 字节)发送出来(到用户空间程序),这个字段里存的是发 送相应的网络包的程序的名字。return 0;/***/可以看到,程序 attach 到 4 个 tracepoint,并会访问skbaddr字段,将其传给处理 逻辑函数,这个函数现在只是将程序名字发送出来。
Linux内核调试原理和工具介绍--理解静态插装/动态插装、tracepoint、ftrace、kprobe、SystemTap、Perf、eBPF
网络安全研究
04-28 5574
可以将linux跟踪系统分成Tracer(跟踪数据来自哪里),数据手机分析(如"ftrace")和跟踪前端(更方便的用户态工具)。 1. 数据源(Tracers) printk 是一种方法, 但是 printk 终归是毫无选择地全量输出, 某些场景下不实用。 Tracepoint属于静态插装, 是散落在内核源代码中的一些 hook,一旦使能,它们便可以在特定的代码被运行到时被触发。比如Ftrace...
Linux内核tracepoints
Tonyluzhigang的专栏
09-17 3992
内核中的每个tracepoint提供一个钩子来调用probe函数。一个tracepoint可以打开或关闭。打开时,probe函数关联到tracepoint;关闭时,probe函数不关联到tracepointtracepoint关闭时对kernel产生的影响很小,只是增加了极少的时间开销(一个分支条件判断),极小的空间开销(一条函数调用语句和几个数据结构)。当一个tracepoint打开时,用户提
LWN: 对BPF tracing进行类型检测
Linux News搬运工
11-13 545
Type checking for BPF tracingByJonathan CorbetOctober 28, 2019原文来自:https://lwn.net/A...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值