linux内核性能分析:内核追踪工具bpftrace

原创 已于 2025-01-14 15:17:38 修改 · 1k 阅读 · 32 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#linux #前端 #javascript

于 2025-01-13 19:18:08 首次发布

bpftrace

一、工具安装
sudo apt install bpftrace
二、bpftrace语句结构
bpftrace -e 
		# 监控事件(探针)
		'tracepoint:syscalls:sys_enter_accept 
		# 过滤条件
		/ comm == "redis-server" / 
		# 事件触发后对应的操作
		{ printf("accept\n"); }'
bpftrace moniter.bt
三、常见探针类型
  • kprobe(动态探针): 内核函数入口触发
  • kretprobe(动态探针):内核函数出口触发
  • uprobe(动态探针): 用户空间函数入口触发
  • uretprobe(动态探针): 用户空间函数出口触发
  • tracepoint(静态探针): 特定事件触发,系统调用
四、bpftrace内置变量
  • uid:用户id
  • tid:线程id
  • pid:进程id
  • cpu:cpu id
  • cgroup:cgroup id
  • probe:当前trace点
  • comm:进程名称
  • nsecs:纳秒级别时间戳
  • kstack:内核线程描述
  • curtask:当前集成的task_struct 地址
  • args:获取当前kprobe或者tracepoint的参数数列表
  • arg0:获取kprobe的第一个变量,tracepoint不可用
  • arg1:获取kprobe的第二个变量,tracepoint不可用
  • arg2:获取kprobe的第三个变量,tracepoint不可用
  • retval:kretprobe中获取函数返回值
  • args->ret: kretprobe中获取函数返回值
五、自定义变量

符号开头定义变量如符号开头定义变量 如符号开头定义变量如$pic = 10;

map变量 在内核和用户空间之间存储和检索数据,定义方式以@符号开始

如:@hashmap[$key] = $value

Bpftrace 默认在结束时会打印从内核接收到的 map 变量

六、内置函数
  • exit():推出bpftrace程序
  • str(char*):装换一个指针到string类型
  • system(format[])
  • printf(char *fmt, …) - 格式化打印
  • time(char *fmt) - 格式化打印时间
  • join(char *arr[] [, char *delim]) - 打印字符串数组
  • str(char *s [, int length]) - 返回指向s的字符串指针
  • ksym(void *p) - 解析内核地址
  • usym(void *p)- 解析用户空间地址
  • kaddr(char *name) - 解析内核符号 //kernel addresss
  • uaddr(char *name) - 解析用户空间符号 //user address
  • reg(char *name) - 返回存储在指定寄存器上的值
  • system(char *fmt) - 执行系统命令
  • exit() - 退出bpftrace
  • cgroupid(char *path) - 解析cgroupID
  • kstack([StackMode mode, ][int level]) - 内核栈回溯
  • ustack([StackMode mode, ][int level]) - 用户栈回溯
  • ntop([int af, ]int|char[4|16] addr) - 将ip地址转换为文本
  • cat(char *filename) - 打印文件内容
  • signal(char[] signal | u32 signal) - 给当前进程发送信号
  • strncmp(char *s1, char *s2, int length) - 比较两个字符串的前n个字节
  • override(u64 rc) - 重写返回值
  • buf(void *d [, int length]) - 返回d指向的16进制内容
  • sizeof(…) - 返回一个类型或语句的尺寸Return size of a type or expression
  • print(…) - 使用默认格式打印一个非map的值
  • strftime(char *format, int nsecs) - 返回格式化的时间戳
  • path(struct path *path) - 返回完整路径
  • uptr(void *p) - 注释为用户空间指针
  • kptr(void *p) - 注释为内核空间指针
  • macaddr(char[6] addr) - 转换mac地址
七、bpftrace脚本示例
1、内核中调用accept函数的socket信息
#include <net/sock.h>
#include <linux/socket.h>

// bpftrace脚本启动开始
BEGIN
{
	printf("%8s %6s %16s", "TIME", "PID", "COMM");
     printf("%19s:%5s  %16s:%5s\n", "SADDR", "SPORT", "DADDR", "DPORT");
}

kretprobe:inet_csk_accept 
{
	// 获取kretprobe中获取函数返回值
	$sk = (struct sock*)retval;
	$inet_family = $sk->__sk_common.skc_family;
        if ($inet_family == AF_INET) {
                $daddr = ntop($sk->__sk_common.skc_daddr);
                $saddr = ntop($sk->__sk_common.skc_rcv_saddr);
        }
        $dport = $sk->__sk_common.skc_dport;
        $lport = $sk->__sk_common.skc_num;
        $dport = bswap($dport);
        time("%H:%M:%S ");
        printf("%6d %16s", pid, comm);
        printf("%19s:%5d  %16s:%5d\n", $saddr, $lport, $daddr, $dport);	

}
// bpftrace脚本结束
END
{
	printf("END\n");
}
2、mysql每条sql语句实行时间(mysql执行sql语句时会调用dispatch函数)
BEGIN
{
	printf("Tracing MySQL Server\n");
	printf("%10s %6s %s\n", "TIME(ns)", "PID", "SQL");
}
uprobe:/usr/sbin/mysqld:*dispatch_command*
{
	// 获取开始时间
	@start[tid] = nsecs;
}
uprobe:/usr/sbin/mysqld:*dispatch_command*
/@start[tid]/
{
	$dur = nsecs - @start[tid];
	//str(*arg1) 获取执行命令,即第二个参数
	printf("%10u %6d %s\n", $dur, pid, str(*arg1));
}
3、监控内存申请和释放
BEGIN
{
	printf("%10s %16s %s\n", "TYPE", "NAME", "PID");
}

uprobe:/lib/x86_64-linux-gnu/libc.so.6:malloc
/ comm == "mytask" /
{
	printf("%10s %16s %d\n", "malloc", comm, pid);
}

uprobe:/lib/x86_64-linux-gnu/libc.so.6:free
/ comm == "mytask"/
{	
	printf("%10s %16s %d\n", "free", comm, pid);
}
4、监控tcp声明周期
#include <net/sock.h>
#include <linux/socket.h>

BEGIN
{
	printf("%8s %6s %16s", "TIME", "PID", "COMM");
	printf("%19s:%5s  %16s:%5s %s\n", "SADDR", "SPORT", "DADDR", "DPORT", "DURms");
}

kprobe:tcp_set_state
{
	$sk = (struct sock*)arg0;
	$newstate = arg1;
	if ($newstate <= TCP_SYN_RECV) { // begin
		@birth[$sk] = nsecs;
	}
	if ($newstate == TCP_CLOSE ) { // end
		$dur = (nsecs - @birth[$sk]) / 1e6;
		$inet_family = $sk->__sk_common.skc_family;
        	if ($inet_family == AF_INET) {
                	$daddr = ntop($sk->__sk_common.skc_daddr);
                	$saddr = ntop($sk->__sk_common.skc_rcv_saddr);
        	}
        	$dport = $sk->__sk_common.skc_dport;
        	$lport = $sk->__sk_common.skc_num;
        	$dport = bswap($dport);
        	time("%H:%M:%S ");
        	printf("%6d %16s", pid, comm);
        	printf("%19s:%5d  %16s:%5d %d\n", $saddr, $lport, $daddr, $dport, $dur);
	}
}
5、内核插入探针
#include <linux/module.h>
#include <linux/sched/signal.h>

pid_t pid = 0;
// 使用module_param宏声明pid为模块的参数,用户可以在加载模块时通过命令行参数设置它;S_IRUSR表示参数只可读
module_param(pid, int, S_IRUSR);
// insmod kernel_module.ko
int kernel_module_init(void) {
#if 0
    struct pid *spid;
    struct task_struct *task; // 
    spid = find_get_pid(pid);
    task = get_pid_task(spid, PIDTYPE_PID);
    printk("kernel_module_init: %d, %s\n", pid, task->comm);
#else 
    struct task_struct *task;
    // 遍历所有的进程
    for_each_process(task) {
        printk("kernel_module_init: %d, %s\n", task->pid, task->comm);
    }
#endif 
    return 0;
}
// rmmod kernel_module
void kernel_module_exit(void) {
    printk("kernel_module_exit\n");
}
// 两个宏,分别来注册模块的初始化函数和推出函数 使用insmod 命令时,调用kernel_module_init函数
module_init(kernel_module_init);
// 使用rmmod命令你时,调用kernel_module_exit函数
module_exit(kernel_module_exit);
// 声明开源
MODULE_LICENSE("GPL");


obj-m := kernel_module.o
KERNELBUILD := /lib/modules/$(shell uname -r)/build
default:
	make -C $(KERNELBUILD) M=$(shell pwd) modules
clean:
	rm *.ko *.o *.mod.c  *.mod modules.order Module.symvers

使用 insmod命令可以将生成的.ko文件植入到Linux内核中

sudo insmod kernel_module.ko			# 内核加载kernel_module模块
sudo insmod kernel_module.ko pid=7793	 # 内核加载kernel_module模块,并指定参数pid=7793
sudo rmmod kernel_module.ko				# 删除内核kernel_module模块

xxx@xxx:~$ sudo dmesg
[3422967.890650] kernel_module_exit		
xxx@xxx:~$ sudo dmesg
[3422967.890650] kernel_module_exit
[3422973.892238] kernel_module_init: 1, systemd
[3422973.892257] kernel_module_init: 2, kthreadd
[3422973.892272] kernel_module_init: 3, rcu_gp
[3422973.892287] kernel_module_init: 4, rcu_par_gp
[3422973.892302] kernel_module_init: 5, slub_flushwq
[3422973.892317] kernel_module_init: 6, netns
......
[3422973.901814] kernel_module_init: 75224, sshd
[3422973.901830] kernel_module_init: 75226, bash
[3422973.901847] kernel_module_init: 75266, kworker/u256:0
[3422973.901864] kernel_module_init: 75267, sudo
[3422973.901881] kernel_module_init: 75268, sudo
[3422973.901898] kernel_module_init: 75269, insmod
强劲的Linux Trace工具bpftrace (DTrace 2.0) for Linux 2018
Linux阅码场
06-02 8290
Original:阿里 姜弋内核月谈译者:姜弋译者注:原作者是大名鼎鼎的性能分析专家:Brendan Gregg,现在工作在Netflix,之前工作在Sun,在Sun公...
bpftrace:这个超好用的 Linux 性能工具,你还不知道?
osfront的博客
01-14 869
bpftrace:这个超好用的 Linux 性能工具,你还不知道? 简介 bpftraceLinux 高级追踪工具和语言。该工具基于 eBPF 和 BBC 实现了通过探针机制采集内核和程序运行的信息,然后用图表等方式将信息展示出来,帮助开发者找到隐藏较深的 Bug、安全问题和性能瓶颈。 bpftrace 使用 LLVM 作为后端,将脚本编译为 BPF 字节码,并利用 BCC 与 Linux BPF 系统交互,以及现有的 Linux 跟踪功能:内核动态跟踪(kprobes)、用户级动态跟踪(uprobe
Linux性能工具-bpftrace入门
spquan的博客
04-21 7874
一、bpftrace简介 bpftrace 是基于ebpf内核vm扩展出来的trace工具bpftraceLinux 高级追踪工具和语言。该工具基于 eBPF 和 BBC 实现了通过探针机制采集内核和程序运行的信息,然后用图表等方式将信息展示出来,帮助开发者找到隐藏较深的 Bug、安全问题和性能瓶颈。github主页介绍如下:bpftrace 是一种基于 Linux 的eBPF高级跟踪语言,可用于最新的 Linux 内核 (4.x)。bpftra...
bpftrace-初识
weixin_43624322的博客
03-09 1616
bpftrace中提供了工具的文档、man帮助文档、示例文件、一份bpftrace编程指引(单行程序指引),以及对应编程语言的参考手册。所有的bpftrace工具都以 .bt 作为文件名后缀。
bpftrace安装与编译完全指南
gitblog_00712的博客
06-04 450
bpftrace安装与编译完全指南 bpftrace High-level tracing language for Linux eBPF 项目地址: https://gitcode.com/gh_mirrors/bp/bpftr...
Linux下你不能不知道的bpftrace介绍
ALex_zry的博客
05-03 1307
bpftrace基于eBPF技术实现轻量级、低性能开销的监控和分析,使用简单易懂的声明式语言进行脚本编写,可以快速创建和运行复杂的跟踪脚本。在进入事件中,它记录当前时间戳,并将其存储在名为start的关联数组中,该数组的键是正在进行的系统调用的名称。bpftrace使用简单易懂的声明式语言进行脚本编写,可以快速创建和运行非常复杂的跟踪脚本,以便捕获并分析各种有关进程、文件系统、网络、内存、CPU等方面的事件和统计信息。观察输出结果:当脚本开始运行时,它将开始捕获与规则匹配的事件,并在终端中显示输出结果。
使用bpftrace进行内核跟踪
程序猿Ricky的日常干货
03-10 6846
bpftrace工具用法 单行命令工具bpftrace -e 'program' bpftrace直接跟-e选项后面加单行命令,一些示例,比如: bpftrace -e 'BEGIN { printf("Hello world!\n"); }' bpftrace -e 'kprobe:vfs_read { @[tid] = count();}' bpftrace -e 'kprobe:vfs_read /pid == 123/ { @[tid, comm] = count();}' bpftrace
bpftrace
A152419的博客
04-12 2998
是一个基于 eBPF (Extended Berkeley Packet Filter) 的高级工具,用于动态跟踪系统的各种事件和性能指标。它可以在不需要重新编译内核模块的情况下,以一种安全、高效的方式执行代码,从而提供了丰富的系统跟踪和性能分析能力。
Linux内核性能分析:社区资源助你快速定位性能瓶颈
![Linux内核性能分析:社区资源助你快速定位性能瓶颈]...在深入探讨性能分析工具、方法论以及监控技术之前,本章首先提供对Linux内核性能分析的宏观理解。 内核性能分析,是确
Linux内核网络性能问题的追踪工具篇)
望获实时Linux系统
07-09 1045
在现代计算环境中,网络性能对于系统的整体性能至关重要。本文将介绍三种在Linux下常用的性能追踪工具:LTTng、ftrace和内核打印输出,利用这三种工具,可以分别从Linux内核四层及以下协议栈实现代码以及Linux内核应用层协议实现代码入手,在主机上对网络性能问题进行跟踪。由图可见,在Linux系统中,网络报文的接收沿着Linux网络协议栈向上流转,而网络报文的发送沿着Linux网络协议栈向下流转。ftrace 是 Linux 内核提供的一种强大的跟踪框架,主要用于诊断和调试内核中的性能和功能问题。
Linux内核性能分析工具:sysstat、perf和BCC的权威指南
[Linux内核性能分析工具:sysstat、perf和BCC的权威指南](https://www.perfmatrix.com/wp-content/uploads/2023/06/iostat_main_command-1024x382.png) # 1. Linux内核性能分析概述 Linux内核性能分析是IT行业一个...
bpftraceLinux eBPF的高级跟踪语言
02-18
bpftrace bpftrace是用于Linux增强的Berkeley数据包筛选器(eBPF)的高级跟踪语言,该语言在最新Linux内核(4.x)中可用。 bpftrace使用LLVM作为后端将脚本编译为BPF字节码,并利用与Linux BPF系统进行交互以及现有Linux跟踪功能:内核动态跟踪(kprobes),用户级动态跟踪(uprobes),和跟踪点。 bpftrace语言受awk和C以及DTrace和SystemTap等以前的跟踪程序的启发。 bpftrace由创建。 要了解有关bpftrace的更多信息,请参见《和《单线 。 一线 以下一线展示了不同的功能: # Files opened by process bpftrace -e 'tracepoint:syscalls:sys_enter_open { printf("%s %s\n", comm, str(args
bpftracebpftrace内核实时跟踪(调试)工具,类似于Illumos上的dtrace。 Ubuntu不提供此软件包
02-12
bpftrace bpftrace是用于Linux增强的Berkeley数据包筛选器(eBPF)的高级跟踪语言,该语言在最新Linux内核(4.x)中可用。 bpftrace使用LLVM作为后端将脚本编译为BPF字节码,并利用与Linux BPF系统进行交互以及现有Linux跟踪功能:内核动态跟踪(kprobes),用户级动态跟踪(uprobes),和跟踪点。 bpftrace语言受awk和C以及DTrace和SystemTap等以前的跟踪程序的启发。 bpftrace由创建。 要了解有关bpftrace的更多信息,请参见《和《单线 。 一线 以下一线展示了不同的功能: # Files opened by process bpftrace -e 'tracepoint:syscalls:sys_enter_open { printf("%s %s\n", comm, str(args
解锁Linux内核:动态追踪事件添加全攻略
大雨淅淅的博客
05-05 657
Linux 添加动态追踪事件到内核,为我们深入了解系统运行机制、优化系统性能以及排查故障提供了强大的手段。通过 ftrace、perf 和 eBPF 等工具,我们能够在不修改内核和应用程序代码的前提下,实时采集系统运行时的关键信息。在实际工作中,我们应积极运用这些动态追踪技术。当遇到系统性能下降时,不妨先用 perf 进行全面的性能采样,找出热点函数;再使用 ftrace 深入分析函数调用关系和执行时间,定位性能瓶颈。而在排查系统故障时,eBPF 的强大功能可以帮助我们快速捕获关键信息,找到问题的根源。
Linux命令大全】Linux内核调试终极指南:从Oops分析到动态追踪
最新发布
资深全栈架构师,乐于在 优快云 分享技术见解,与大家携手共进,共攀技术巅峰!
06-11 336
随机性崩溃的根因定位性能劣化的深度分析硬件兼容性问题诊断生产环境安全调试海量日志的高效分析💡关键数据:Linux内核平均每月修复150+个关键错误,掌握调试技术是内核开发者的核心能力!
Linux性能分析工具(二)bpftrace (WIP)
weixin_38739241的博客
04-10 1363
bpftrace
linux简介_Linuxbpftrace 简介
eydwyz的专栏
02-25 1137
An introduction to bpftrace for Linux | Opensource.com linux简介_Linuxbpftrace简介_cumj63710的博客-优快云博客 使用bpftrace进行内核跟踪_程序猿Ricky的日常干货-优快云博客_bpftrace BpftraceLinux的新开源跟踪程序,用于分析生产性能问题和故障排除软件。 它的用户和贡献者包括Netflix,Facebook,Red Hat,Shopify等,它是由Alastair
bpftrace(一):bpftrace介绍
legend050709的专栏
12-14 3123
bpftrace
探索bpftraceLinux高级追踪语言的新星
gitblog_00166的博客
08-10 276
探索bpftraceLinux高级追踪语言的新星 bpftraceHigh-level tracing language for Linux eBPF项目地址:https://gitcode.com/gh_mirrors/bp/bpftrace 项目介绍 bpftrace是一款为Linux系统设计的高级追踪语言,它利用了eBPF(Extended Berkeley Packet Filter)...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值