eBPF(4)--tracepoint程序类型

于 2025-06-10 19:11:50 发布
阅读量307 收藏 4
点赞数 10
CC 4.0 BY-SA版权
分类专栏: eBPF 文章标签: linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/pigstor/article/details/148566456

寻找插桩点

# 列出所有 tracepoint 插桩点
bpftrace -l "tracepoint:*:*"

确定函数上下文

跟踪点程序的上下文是指向结构体的指针,每个跟踪事件的上下文都不相同,通过如下命令可读取到对应事件的上下文

cat /sys/kernel/tracing/events/sched/sched_process_exec/format

# 一般输出如下
name: sched_process_exec
ID: 322
# 下面每一行就是一个参数,也代表了插桩点的上下文
format:
	# 这一个区域不能在bpf中进行输出
	field:unsigned short common_type;	offset:0;	size:2;	signed:0;
	field:unsigned char common_flags;	offset:2;	size:1;	signed:0;
	field:unsigned char common_preempt_count;	offset:3;	size:1;	signed:0;
	field:int common_pid;	offset:4;	size:4;	signed:1;

	# 这个区域的参数可以在bpf程序中进行输出
	field:__data_loc char[] filename;	offset:8;	size:4;	signed:0;
	field:pid_t pid;	offset:12;	size:4;	signed:1;
	field:pid_t old_pid;	offset:16;	size:4;	signed:1;

print fmt: "filename=%s pid=%d old_pid=%d", __get_str(filename), REC->pid, REC->old_pid

定义插桩函数

自定义上下文

根据函数上下文可以重构上下文结构体,并定义插桩函数:

// 根据上下文重构结构体
struct raw_exec_ctx {
	u16 common_type;
	u8 common_flags;
	u8 common_preempt_count;
	int common_pid;

	u32 __data_loc_filename;
	pid_t pid;
	pid_t old_pid;
};

SEC("tp/sched/sched_process_exec")
int handle_exec(struct raw_exec_ctx *ctx)
{
	...
        
    bpf_printk("filename:%d pid:%d old_pid:%d\n", ctx->__data_loc_filename, ctx->pid, ctx->old_pid);

    ...
        
    return 0;
}

使用vmlinux定义好的上下文

在 vmlinux.h 中也会定义部分 tracepoint 插桩点的上下文结构体,一般定义格式为`trace_event_raw_*`,`*`表示要插桩的函数,但 vmlinux.h 中不一定定义了所有的插桩函数上下文结构体,所以推荐还是使用自定义上下文。

SEC("tp/sched/sched_process_exec")
int handle_exec(struct trace_event_raw_sched_process_exec *ctx)
{
	...

    bpf_printk("filename:%d pid:%d old_pid:%d\n", ctx->__data_loc_filename, ctx->pid, ctx->old_pid);

    ...
        
    return 0;
}

Cilium + ebpf 系列文章-ebpf-map(二)
博然的宝藏库
09-23 184
一、We Create a container be a Server.二、We Create a container be a Client.三、Them link at a Bridge.四、 Do test.一、Test-tools。##上面的实验是为了证明你在用户空间编写的ebpf程序可以在内核中运行,并且监控系统调用和内核函数。它们可用于在eBPF程序之间和与用户空间代码共享信息——例如,将配置传递到eBPF程序中,或将在内核中收集的可观察性数据发送到用户空间。上一章节讲述了什么是:ebpf.
Linux: kernel: eBPF & BCC & bpftrace & socket filter
mzhan017的博客
04-22 784
reference http://www.brendangregg.com/ kernel cmdline 设置 /kernel/bpf/syscall.c /* RHEL-only: default to 1 */ int sysctl_unprivileged_bpf_disabled __read_mostly = 1; static int __init unprivileged_bpf_setup(char *str) { unsigned long disabled; if (!kstrt
ebpf tracepoint 功能分析
already_skb的专栏
02-19 1770
1. 查看系统支持的所有tracepoint find /sys/kernel/debug/tracing/events -type d 可以查看到当前系统支持的所有tracepoint函数点,大家在利用tracepoint功能的时候最好先看看对应的子系统在那些地方有hook点,评估是否能满足功能。比如说你想内视TCP协议栈,那么你可以先tcp trace 支持那些功能: [root@xxx tcp]# ls /sys/kernel/debug/tracing/events/tcp enable t..
Linux内核 eBPF基础:Tracepoint原理源码分析
RToax
05-10 3504
Linux内核 eBPF基础 Tracepoint原理源码分析 荣涛 2021年5月10日 1. 基本原理 需要注意的几点: 本文将从sched_switch相关的tracepoint展开; 关于static_key,请详见本博客jump-label相关文章Linux Jump Label(x86)Linux Jump Label/static-key机制详解; 可参见内核注释版代码:https://github.com/Rtoax/linux-5.10.13 1.1. 源码头文件结构 首先看t
eBPF】使用bcc构建tracepoint程序
weixin_43144516的博客
07-13 937
前言 Tracepoint Programs是一类典型的eBPF程序。 《Linux Observability with BPF》一书中这样介绍Tracepoint Programs: This type of program allows you to attach BPF programs to the tracepoint handler provided by the kernel. Tracepoint programs are defined with the type BPF_PROG_T
动态控制eBPF程序加载:检查 Tracepoint、Kprobe是否存在
2401_84703565的博客
06-02 1058
eBPF 程序开发中,确保程序能够在各种不同的系统配置中兼容运行是至关重要的。本文将详细介绍一个方案,通过动态检查Tracepoint、Kprobe是否存在,并结合libbpf的API接口控制 eBPF 程序的加载。这种方法不仅可以提升程序的灵活性,还能提高其在不同内核版本和系统配置中的兼容性。检查指定的 Tracepoint 是否存在;检查指定的 Kprobe 是否存在;
eBPF内核实现之TRACING
qq_17045267的博客
07-06 3344
eBPF目前被广泛应用于Linux系统中的各个领域,包括网络、安全、性能、调测等。其中,内核trace算是eBPF比较早所支持的特性。最早的用于内核trace的eBPF类型当属,即机制提供的对eBPF的支持,使得eBPF程序可以以内核函数动态插桩的方式来进行内核trace。随着时代的发展,目前可用于trace的eBPF类型和能够实现的功能也越来越丰富,包括、、等eBPF类型。那么内核提供的这些eBPF类型的实现和用途有什么区别,适用于哪些场景呢?我们来一探究竟。......
AOSP平台编写Android-ebpf程序(tracepoint)的一些map定义和使用问题,导致map和prog无法产生的原因。
m0_68715848的博客
03-19 1390
我们重启手机之后发现只产生了三个map,且prog没有产生:由于map的产生是根据内核态定义的顺序来的,所以就是到第四个map出现了问题,也就是我们刚刚修改的map,这里的原因暂且不清楚,之前猜测可能是因为大小超出了限制的原因,然而实际上修改为1024也不能产生,然而time_in_state中其实用到了ARRAY来传递结构体的:现在猜测可能是因为array是连续的数组,而hash是一个散列表可能是索引错误的原因,这里后面在做尝试吧。目前测试的结果,只要是使用结构体作value值的话,
eunomia-bpf: 让 eBPF 程序的开发和部署尽可能简单
云微的blog
09-07 859
传统来说, eBPF 的开发方式主要有 BCC、libbpf 等方式。要完成一个 BPF 二进制程序的开发,需要搭建开发编译环境,要关注目标系统的内核版本情况,需要掌握从 BPF 内核态到用户态程序的编写,以及如何加载、绑定至对应的 HOOK 点等待事件触发,最后再对输出的日志及数据进行处理。我们希望有这样一种 eBPF 的编译和运行工具链,就像其他很多语言一样:大多数用户只需要关注bpf.c程序本身的编写,不需要写任何其他的什么 Python, Clang 之类的用户态辅助代码框架;
Linux内核】eBPF基础篇
qq_43840665的博客
10-21 2685
系列综述:💞目的:本系列是个人整理为了学习ebpf机制的,整理期间苛求每个知识点,平衡理解简易度与深入程度。🥰来源:材料主要源于–知乎ebpf专栏文章–进行的,每个知识点的修正和深入主要参考各平台大佬的文章,其中也可能含有少量的个人实验自证。🤭结语:如果有帮到你的地方,就和!!!!,后续继续完善和扩充👍(●’◡’●)
bpftrace使用
L.
09-11 910
eBPF(Extended Berkeley Packet Filter):eBPF是一种虚拟机技术,允许在内核中运行安全的、可编程的代码片段,以便对系统执行深入的跟踪和监视。eBPF提供了一种灵活且高效的方式来扩展内核的功能,并允许用户空间应用程序与内核交互。bpftrace语言:bpftrace提供了一种高级脚本语言,使用类似于awk的语法,用于编写跟踪脚本。bpftrace脚本通过eBPF提供的虚拟机执行,可以捕获和分析各种系统事件和指标。
运维人不得不了解的eBPF入门指南,新手建议收藏~
MachineGunJoe666
08-02 2163
eBPF(Extended Berkeley Packet Filter)的核心是驻留在 kernel 的高效虚拟机。最初的目的是高效网络过滤框架,前身是BPF,所以我们先了解下BPF BPF 框架 上图是BPF的位置和框架,需要注意的是kernel和user使用了buffer来传输数据,避免频繁上下文切换。BPF虚拟机非常简洁,由累加器、索引寄存器、存储、隐式程序计数器组成。 示例 接下来我们看一下示例,过滤所有ip报文,可以使用 tcpdump -d ip 查看: (000) ldh [1
eBPF监控工具bcc系列八BPF C
weixin_34409822的博客
05-09 2574
在之前的bcc代码中我们知道其程序是分为两部分的,一部分是C语言,另一部分是基于Python的。本篇是关于C语言部分的。 1. 事件和参数 1.1 kprobes 使用kprobe的语法是: kprobe__kernel_function_name 其中kprobe__是前缀,用于给内核函数创建一个kprobe(内核函数调用的动态跟...
eBPF 基本架构及使用
云原生实验室
08-19 2297
eBPF 介绍Tcpdump 是 Linux 平台常用的网络数据包抓取及分析工具,tcpdump 主要通过 libpcap 实现,而 libpcap 就是基于 eBPF。先介绍 BPF(B...
eBPF初体验
chensong_2000的博客
08-13 1906
eBPF(aka extended berkeley package filter)是最近比较热门的内核调试方法和工具。 我个人目前还是更喜欢用trace-cmd+ftrace来调试内核的问题,但ebpf据说是可以更加灵活的设置调试信息。ebpf的原理是使用tracepoint静态监测点和kprobe动态监测点来对内核进行函数级别的监测,可以监测内核运行的代码流是否正确,更可以监控内核运行的效率。 我在github上fork了一份bcc(https://github.com/iovisor/bcc)的代
eBPF Tracing 入门教程与实例
weixin_34270865的博客
05-28 1210
在 LPC'18(Linux Plumber's conference) 会议上,至少有24个关于 eBPF 的演讲。 eBPF 这一实用技术,将是每个开发者需要掌握的技巧。 也许你的新年目标得再多一个了:学习 eBPFeBPF 的名称源于 extended Berkeley Packet Filter,如果从 eBPF 的功能来说,类似 Virtual Kernel Instruction S...
eBPF在android上的使用
Peter的专栏
01-29 3430
一、eBPF是什么eBPF是extended BPF的缩写,而BPF是Berkeley Packet Filter的缩写。对linux网络比较熟悉的伙伴对BPF应该比较了解,它通过特定的...
Linux内核调试原理和工具介绍--理解静态插装/动态插装、tracepoint、ftrace、kprobe、SystemTap、Perf、eBPF
网络安全研究
04-28 5523
可以将linux跟踪系统分成Tracer(跟踪数据来自哪里),数据手机分析(如"ftrace")和跟踪前端(更方便的用户态工具)。 1. 数据源(Tracers) printk 是一种方法, 但是 printk 终归是毫无选择地全量输出, 某些场景下不实用。 Tracepoint属于静态插装, 是散落在内核源代码中的一些 hook,一旦使能,它们便可以在特定的代码被运行到时被触发。比如Ftrace...
使用 Go 语言开发 eBPF 程序
云原生实验室
04-13 3987
在 Introduction to eBPF[1] 这篇文章中介绍了基于内核源码开发并加载 eBPF 代码的过程。本文将介绍基于 Go 和对应的库开发 eBPF 程序,文中所有涉及的代码可以在我的 Github[2] 中找到。选择 eBPF 库当涉及到选择库和工具来与 eBPF 进行交互时,会让人有所困惑。在选择时,你必须在基于 Python 的 BCC[3] 框架、基于...
ebpf程序类型
最新发布
03-08
### eBPF 程序类型及其用途 #### 1. Socket 过滤器 (Socket Filters) 这类程序用于过滤到达套接字的数据包。通过挂载到特定的 socket 上,能够决定哪些数据包应该传递给应用程序,哪些应当被丢弃。这使得开发者...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值