返回顶部
首页 > 资讯 > 操作系统 >Linux下怎么使用Bpftrace
  • 886
分享到

Linux下怎么使用Bpftrace

2023-06-28 03:06:04 886人浏览 独家记忆
摘要

今天小编给大家分享一下linux下怎么使用Bpftrace的相关知识点,内容详细,逻辑清晰,相信大部分人都还太了解这方面的知识,所以分享这篇文章给大家参考一下,希望大家阅读完这篇文章后有所收获,下面我们一起来了解一下吧。Bpftrace是L

今天小编给大家分享一下linux下怎么使用Bpftrace的相关知识点,内容详细,逻辑清晰,相信大部分人都还太了解这方面的知识,所以分享这篇文章给大家参考一下,希望大家阅读完这篇文章后有所收获,下面我们一起来了解一下吧。

Bpftrace是Linux的新开源跟踪程序,用于分析生产性能问题和故障排除软件。 它的用户和贡献者包括Netflix,Facebook,Red Hat,Shopify等,它是由Alastair Robertson创建的, Alastair Robertson是一位才华横溢的英国开发商,赢得了各种编码竞赛。

Linux下怎么使用Bpftrace

安装和快速入门

在终端 使用 sudo 执行下面的命令安装 bpftrace:

$ sudo dnf install bpftrace

使用“hello world”进行实验:

$ sudo bpftrace -e 'BEGIN { printf("hello world\n"); }'

注意,出于特权级的需要,你必须使用 root 运行 bpftrace,使用 -e 选项指明一个程序,构建一个所谓的“单行程序”。这个例子只会打印 “hello world”,接着等待你按下 Ctrl+C。

BEGIN 是一个特殊的探针名,只在执行一开始生效一次;每次探针命中时,大括号 {} 内的操作(这个例子中只是一个 printf)

都会执行。

现在让我们转向一个更有用的例子:

$ sudo bpftrace -e 't:syscalls:sys_enter_execve { printf("%s called %s\n", comm, str(args->filename)); }'

这个例子打印了父进程的名字(comm)和系统中正在创建的每个新进程的名称。t:syscalls:sys_enter_execve 是一个内核追踪点,是 tracepoint:syscalls:sys_enter_execve 的简写,两种形式都可以使用。下一部分会向你展示如何列出所有可用的追踪点。

comm 是一个 bpftrace 内建指令,代表进程名;filename 是 t:syscalls:sys_enter_execve 追踪点的一个字段,这些字段可以通过 args 内建指令访问。

追踪点的所有可用字段可以通过这个命令列出:

bpftrace -lv "t:syscalls:sys_enter_execve"

示例用法

bpftrace 的一个核心概念是探针点,即 eBPF 程序可以连接到的(内核或用户空间的)代码中的测量点,可以分成以下几大类:

  • kprobe——内核函数的开始处 kretprobe——内核函数的返回处 uprobe——用户级函数的开始处 uretprobe——用户级函数的返回处 tracepoint——内核静态追踪点 usdt——用户级静态追踪点 profile——基于时间的采样 interval——基于时间的输出 software——内核软件事件 hardware——处理器级事件

所有可用的 kprobe / kretprobe、tracepoints、software 和 hardware 探针可以通过这个命令列出:

$ sudo bpftrace -l

uprobe / uretprobe 和 usdt 是用户空间探针,专用于某个可执行文件。要使用这些探针,通过下文中的特殊语法。profile 和 interval 探以固定的时间间隔触发;固定的时间间隔不在本文的范畴内。

统计系统调用数

映射 是保存计数、统计数据和柱状图的特殊 BPF 数据类型,你可以使用映射统计每个系统调用正在被调用的次数:

$ sudo bpftrace -e 't:syscalls:sys_enter_* { @[probe] = count(); }'

一些探针类型允许使用通配符匹配多个探针,你也可以使用一个逗号隔开的列表为一个操作块指明多个连接点。上面的例子中,操作块连接到了所有名称以 t:syscalls:sysenter_ 开头的追踪点,即所有可用的系统调用。

bpftrace 的内建函数 count() 统计系统调用被调用的次数;@[] 代表一个映射(一个关联数组)。该映射的键 probe 是另一个内建指令,代表完整的探针名。

这个例子中,相同的操作块连接到了每个系统调用,之后每次有系统调用被调用时,映射就会被更新,映射中和系统调用对应的项就会增加。程序终止时,自动打印出所有声明的映射。

下面的例子统计所有的系统调用,然后通过 bpftrace 过滤语法使用 PID 过滤出某个特定进程调用的系统调用:

$ sudo bpftrace -e 't:syscalls:sys_enter_* / pid == 1234 / { @[probe] = count(); }'

进程写的字节数

让我们使用上面的概念分析每个进程正在写的字节数:

$ sudo bpftrace -e 't:syscalls:sys_exit_write /args->ret > 0/ { @[comm] = sum(args->ret); }'

bpftrace 连接操作块到写系统调用的返回探针(t:syscalls:sys_exit_write),然后使用过滤器丢掉代表错误代码的负值(/arg->ret > 0/)。

映射的键 comm 代表调用系统调用的进程名;内建函数 sum() 累计每个映射项或进程写的字节数;args 是一个 bpftrace 内建指令,用于访问追踪点的参数和返回值。如果执行成功,write 系统调用返回写的字节数,arg->ret

用于访问这个字节数。

进程的读取大小分布(柱状图):

bpftrace 支持创建柱状图。让我们分析一个创建进程的 read 大小分布的柱状图的例子:

$ sudo bpftrace -e 't:syscalls:sys_exit_read { @[comm] = hist(args->ret); }'

柱状图是 BPF 映射,因此必须保存为一个映射(@),这个例子中映射键是 comm。

这个例子使 bpftrace 给每个调用 read 系统调用的进程生成一个柱状图。要生成一个全局柱状图,直接保存 hist() 函数到 @(不使用任何键)。

程序终止时,bpftrace 自动打印出声明的柱状图。创建柱状图的基准值是通过 args->ret 获取到的读取的字节数。

追踪用户空间程序

你也可以通过 uprobes / uretprobes 和 USDT(用户级静态定义的追踪)追踪用户空间程序。下一个例子使用探测用户级函数结尾处的 uretprobe ,获取系统中运行的每个 bash 发出的命令行:

$ sudo bpftrace -e 'uretprobe:/bin/bash:readline { printf("readline: \"%s\"\n", str(retval)); }'

要列出可执行文件 bash 的所有可用 uprobes / uretprobes, 执行这个命令:

$ sudo bpftrace -l "uprobe:/bin/bash"

uprobe 指向用户级函数执行的开始,uretprobe 指向执行的结束(返回处);readline() 是 /bin/bash 的一个函数,返回键入的命令行;retval 是被探测的指令的返回值,只能在 uretprobe 访问。

使用 uprobes 时,你可以用 arg0..argN 访问参数。需要调用 str() 将 char * 指针转化成一个字符串

自带脚本

bpftrace 软件包附带了许多有用的脚本,可以在 /usr/share/bpftrace/tools/ 目录找到。

这些脚本中,你可以找到:

  • killsnoop.bt——追踪 kill() 系统调用发出的信号
  • tcpconnect.bt——追踪所有的 TCP 网络连接
  • pidpersec.bt——统计每秒钟(通过fork)创建的新进程
  • opensnoop.bt——追踪 open() 系统调用
  • bfsstat.bt——追踪一些 VFS 调用,按秒统计

你可以直接使用这些脚本,比如:

$ sudo /usr/share/bpftrace/tools/killsnoop.bt

你也可以在创建新的工具时参考这些脚本。

以上就是“Linux下怎么使用Bpftrace”这篇文章的所有内容,感谢各位的阅读!相信大家阅读完这篇文章都有很大的收获,小编每天都会为大家更新不同的知识,如果还想学习更多的知识,请关注编程网操作系统频道。

--结束END--

本文标题: Linux下怎么使用Bpftrace

本文链接: https://lsjlt.com/news/315990.html(转载时请注明来源链接)

有问题或投稿请发送至: 邮箱/279061341@qq.com    QQ/279061341

猜你喜欢
  • Linux下怎么使用Bpftrace
    今天小编给大家分享一下Linux下怎么使用Bpftrace的相关知识点,内容详细,逻辑清晰,相信大部分人都还太了解这方面的知识,所以分享这篇文章给大家参考一下,希望大家阅读完这篇文章后有所收获,下面我们一起来了解一下吧。Bpftrace是L...
    99+
    2023-06-28
  • Linux下怎么使用OpenSSL
    本篇内容介绍了“Linux下怎么使用OpenSSL”的有关知识,在实际案例的操作过程中,不少人都会遇到这样的困境,接下来就让小编带领大家学习一下如何处理这些情况吧!希望大家仔细阅读,能够学有所成!OpenSSL是一个强大的安全套接字层密码库...
    99+
    2023-06-27
  • Linux下怎么使用radare2
    本篇内容主要讲解“Linux下怎么使用radare2”,感兴趣的朋友不妨来看看。本文介绍的方法操作简单快捷,实用性强。下面就让小编来带大家学习“Linux下怎么使用radare2”吧!为什么选择 Radare2?有大量(非原生的)Linux...
    99+
    2023-06-27
  • linux下xinput怎么使用
    本篇内容主要讲解“linux下xinput怎么使用”,感兴趣的朋友不妨来看看。本文介绍的方法操作简单快捷,实用性强。下面就让小编来带大家学习“linux下xinput怎么使用”吧! ...
    99+
    2023-03-14
    linux
  • Linux下libnet怎么使用
    在Linux下,`libnet`是一个用于网络数据包构造和发送的C库。以下是一个简单的步骤来使用`libnet`:1. 安装`lib...
    99+
    2023-08-24
    Linux libnet
  • linux下php-fpm怎么使用
    本篇内容主要讲解“linux下php-fpm怎么使用”,感兴趣的朋友不妨来看看。本文介绍的方法操作简单快捷,实用性强。下面就让小编来带大家学习“linux下php-fpm怎么使用”吧!所以启动、关闭和重新加...
    99+
    2024-04-02
  • 怎么在Linux下使用rsync
    这篇文章主要介绍“怎么在Linux下使用rsync”,在日常操作中,相信很多人在怎么在Linux下使用rsync问题上存在疑惑,小编查阅了各式资料,整理出简单好用的操作方法,希望对大家解答”怎么在Linux下使用rsync”的疑惑有所帮助!...
    99+
    2023-06-16
  • Linux下的Taskwarrior怎么使用
    本篇内容主要讲解“Linux下的Taskwarrior怎么使用”,感兴趣的朋友不妨来看看。本文介绍的方法操作简单快捷,实用性强。下面就让小编来带大家学习“Linux下的Taskwarrior怎么使用”吧!Taskwarrior 是 Ubun...
    99+
    2023-06-28
  • 在linux下core怎么使用
    这篇“在linux下core怎么使用”文章的知识点大部分人都不太理解,所以小编给大家总结了以下内容,内容详细,步骤清晰,具有一定的借鉴价值,希望大家阅读完这篇文章能有所收获,下面我们一起来看看这篇“在lin...
    99+
    2023-03-24
    linux core
  • linux下cp命令怎么使用
    这篇文章主要讲解了“linux下cp命令怎么使用”,文中的讲解内容简单清晰,易于学习与理解,下面请大家跟着小编的思路慢慢深入,一起来研究和学习“linux下cp命令怎么使用”吧!在linux中,cp是“copy file”的缩写,cp命令用...
    99+
    2023-06-22
  • linux下traceroute命令怎么使用
    在Linux下,`traceroute`命令用于跟踪网络数据包从本地主机到目的主机的路径。下面是`traceroute`命令的使用方...
    99+
    2023-09-20
    linux
  • Linux下journalctl命令怎么使用
    本篇内容主要讲解“Linux下journalctl命令怎么使用”,感兴趣的朋友不妨来看看。本文介绍的方法操作简单快捷,实用性强。下面就让小编来带大家学习“Linux下journalctl命令怎么使用”吧!在Systemd出现之前,Linux...
    99+
    2023-06-27
  • Linux下怎么使用pcap文件
    今天小编给大家分享一下Linux下怎么使用pcap文件的相关知识点,内容详细,逻辑清晰,相信大部分人都还太了解这方面的知识,所以分享这篇文章给大家参考一下,希望大家阅读完这篇文章后有所收获,下面我们一起来了解一下吧。pcap文件是常用的数据...
    99+
    2023-06-28
  • Linux下怎么使用crontab命令
    本篇内容主要讲解“Linux下怎么使用crontab命令”,感兴趣的朋友不妨来看看。本文介绍的方法操作简单快捷,实用性强。下面就让小编来带大家学习“Linux下怎么使用crontab命令”吧!Linux crontab是用来定期执行程序的命...
    99+
    2023-06-28
  • Linux下怎么使用vim画图
    这篇文章将为大家详细讲解有关Linux下怎么使用vim画图,小编觉得挺实用的,因此分享给大家做个参考,希望大家阅读完这篇文章后可以有所收获。Vim是Linux上常用编辑器,但是也可以用来画图,在Linux系统中并不缺少画图软件但是使用VIM...
    99+
    2023-06-28
  • Linux下jq命令怎么使用
    这篇文章主要介绍了Linux下jq命令怎么使用的相关知识,内容详细易懂,操作简单快捷,具有一定借鉴价值,相信大家阅读完这篇Linux下jq命令怎么使用文章都会有所收获,下面我们一起来看看吧。jq 是一个轻量级的json处理命令。可...
    99+
    2023-06-27
  • Linux下怎么使用git命令
    本篇内容介绍了“Linux下怎么使用git命令”的有关知识,在实际案例的操作过程中,不少人都会遇到这样的困境,接下来就让小编带领大家学习一下如何处理这些情况吧!希望大家仔细阅读,能够学有所成!Git(读音为/gɪt/)是一个开源的分布式版本...
    99+
    2023-06-28
  • Linux下怎么安装使用Node.js
    这篇文章主要介绍“Linux下怎么安装使用Node.js”,在日常操作中,相信很多人在Linux下怎么安装使用Node.js问题上存在疑惑,小编查阅了各式资料,整理出简单好用的操作方法,希望对大家解答”Linux下怎么安装使用Node.js...
    99+
    2023-06-27
  • Linux下vgscan命令怎么使用
    这篇文章主要讲解了“Linux下vgscan命令怎么使用”,文中的讲解内容简单清晰,易于学习与理解,下面请大家跟着小编的思路慢慢深入,一起来研究和学习“Linux下vgscan命令怎么使用”吧!vgscan命令 查找系统中存在的L...
    99+
    2023-06-28
  • Linux下waitpid()函数怎么使用
    在Linux下,waitpid()函数用于等待指定的子进程状态改变,它的原型如下:```#include #include pid_...
    99+
    2023-09-11
    Linux
软考高级职称资格查询
编程网,编程工程师的家园,是目前国内优秀的开源技术社区之一,形成了由开源软件库、代码分享、资讯、协作翻译、讨论区和博客等几大频道内容,为IT开发者提供了一个发现、使用、并交流开源技术的平台。
  • 官方手机版

  • 微信公众号

  • 商务合作