在前面我已經(jīng)分享了關(guān)于ebpf入門的文章：

基于ubuntu22.04-深入淺出 eBPF。

這篇文章介紹一個基于ebpf技術(shù)的強大工具--bpftrace。

在現(xiàn)代計算機系統(tǒng)中，了解系統(tǒng)的內(nèi)部運行情況對于診斷問題、優(yōu)化性能以及進行安全監(jiān)控至關(guān)重要。bpftrace作為一款強大的跟蹤工具，為開發(fā)人員和系統(tǒng)管理員提供了一種獨特的方式來監(jiān)視和分析Linux系統(tǒng)的內(nèi)部運行。本文描述bpftrace的原理和使用。

bpftrace

「bpftrace是基于eBPF和BBC實現(xiàn)了通過探針機制采集內(nèi)核和程序運行的信息，然后用圖表等方式將信息展示出來，幫助開發(fā)者找到隱藏較深的Bug、安全問題和性能瓶頸?！?/strong>「bpftrace是一種高級跟蹤，適用于最新的Linux內(nèi)核(4.x)中提供的Linux增強型Berkeley數(shù)據(jù)包過濾器(eBPF)。bpftrace使用LLVM作為將腳本編譯為BPF碼字節(jié)語言，并使用BCC與Linux BPF系統(tǒng)交互，以及現(xiàn)有的Linux跟蹤功能：內(nèi)核動態(tài)跟蹤（kprobes）、用戶級動態(tài)跟蹤（uprobes）、和跟蹤點。bpftrace語言的靈感來自awk和C，以及DTrace和SystemTap等前身跟蹤」

「bpftrace通過高度抽象的封裝來使用eBPF，大多數(shù)功能只需要寥寥幾筆就可以運行起來，可以很快讓我們搞清楚eBPF是什么樣的，而暫時不關(guān)心eBPF復(fù)雜的內(nèi)部機理。由于bpftrace深受AWK和c的影響，bpftrace使用起來于AWK非常相似，那些內(nèi)核hook注入點幾乎可以按普通字符串匹配來理解，非常容易上手?！?/strong>

bpftrace安裝

在bpftrace的項目中，提供了一些常見系統(tǒng)的安裝方法，官方文檔：(https://github.com/iovisor/bpftrace/blob/master/INSTALL.md#ubuntu-packages)。支持的系統(tǒng)：Ubuntu，F(xiàn)edora，Gentoo，Debian，openSUSE，CentOS，Arch，Alpine。

作者使用ubuntu22.04系統(tǒng)，安裝過程非常簡單，步驟如下：

youyeetoo@youyeetoo:~$sudoapt-getinstall-ybpftrace

安裝完畢，可以確認(rèn)一下安裝情況，如果看到版本號說明安裝成功：

youyeetoo@youyeetoo:~$bpftrace-V bpftracev0.14.0

bpftrace使用

bpftrace是eBPF的高級封裝，借助bpftrace可以一窺 eBPF 輪廓。

##列出ebpf支持的探針指令： $bpftrace-l ##查看ebpf支持的探針個數(shù)： $bpftrace-l|wc-l ##查看不同類型ebpf探針個數(shù)： $bpftrace-l|awk-F":"'{print$1}'|sort|uniq-c

bpftrace執(zhí)行腳本

bpftrace提供了兩種不同的方式執(zhí)行腳本：

單行指令執(zhí)行：bpftrace -e 'cmds'

單行指令模式是即用即棄，執(zhí)行一些簡短的指令非常方便，所有指令都包含在最后一個參數(shù)中，需要注意的是，雖然單行指令模式的指令可能很長，但對于 bpftrace 來說，它只接受了 2 個參數(shù)：-e 和一個指令字符串(需要使用單引號包裹，確保所有指令都被識別為一個完整的字符串)。

單行指令，官方也提供了一些樣例，如下：

#Filesopenedbyprocess $bpftrace-e'tracepointsys_enter_open{printf("%s%sn",comm,str(args->filename));}' #Syscallcountbyprogram $bpftrace-e'tracepointsys_enter{@[comm]=count();}' #Readbytesbyprocess: $bpftrace-e'tracepointsys_exit_read/args->ret/{@[comm]=sum(args->ret);}' #Readsizedistributionbyprocess: $bpftrace-e'tracepointsys_exit_read{@[comm]=hist(args->ret);}' #Showper-secondsyscallrates: $bpftrace-e'tracepointsys_enter{@=count();}interval1{print(@);clear(@);}' #Tracedisksizebyprocess $bpftrace-e'tracepointblock_rq_issue{printf("%d%s%dn",pid,comm,args->bytes);}' #Countpagefaultsbyprocess $bpftrace-e'software1{@[comm]=count();}' #CountLLCcachemissesbyprocessnameandPID(usesPMCs): $bpftrace-e'hardware1000000{@[comm,pid]=count();}' #Profileuser-levelstacksat99Hertz,forPID189: $bpftrace-e'profile99/pid==189/{@[ustack]=count();}' #Filesopened,forprocessesintherootcgroup-v2 $bpftrace-e'tracepointsys_enter_openat/cgroup==cgroupid("/sys/fs/cgroup/unified/mycg")/{printf("%sn",str(args->filename));}'

腳本文件執(zhí)行：bpftrace

通過bpftrace就可以執(zhí)行c style的代碼，通過這類的代碼，bpftrace可以實現(xiàn)相對復(fù)雜的邏輯。比如通過bpftrace獲取當(dāng)前所有shell的輸入，代碼如下：

BEGIN { printf("Tracingbashcommands...HitCtrl-Ctoend.n"); printf("%-9st%st%st%sn","TIME","UID","PID","COMMAND"); } uretprobe:/bin/bash:readline { time("%H:%M:%St"); printf("%dt%dt%sn",uid,pid,str(retval)); } END { printf("end-test"); }

官方提供了很多工具可直接調(diào)用，鏈接：https://github.com/iovisor/bpftrace/tree/master/tools

工具說明
tools/bashreadline.bt 在系統(tǒng)范圍內(nèi)打印輸入的bash命令
tools/biolatency.bt 以直方圖形式顯示塊I/O延遲
tools/biosnoop.bt 塊I/O跟蹤工具，顯示每個I/O延遲
tools/biostacks.bt 使用初始化堆棧顯示磁盤 I/O 延遲
tools/bitesize.bt 以直方圖形式顯示磁盤 I/O 大小
tools/capable.bt 跟蹤安全能力檢查
tools/cpuwalk.bt 采樣哪些 CPU 正在執(zhí)行進程
tools/dcsnoop.bt 跟蹤目錄條目緩存 (dcache) 查找
tools/execsnoop.bt 通過 exec() 系統(tǒng)調(diào)用跟蹤新進程
tools/gethostlatency.bt 顯示 getaddrinfo/gethostbyname[2] 調(diào)用的延遲
tools/killsnoop.bt 由kill()系統(tǒng)調(diào)用發(fā)出的跟蹤信號
tools/loads.bt 打印負(fù)載平均值
tools/mdflush.bt 跟蹤 md 刷新事件
tools/naptime.bt 顯示自愿睡眠呼叫
tools/opensnoop.bt 跟蹤顯示文件名的 open() 系統(tǒng)調(diào)用
tools/oomkill.bt 跟蹤 OOM 殺手
tools/pidpersec.bt 計算新進程（通過 fork）
tools/runqlat.bt CPU 調(diào)度程序運行隊列延遲作為直方圖
tools/runqlen.bt CPU 調(diào)度程序運行隊列長度作為直方圖
tools/setuids.bt 跟蹤 setuid 系統(tǒng)調(diào)用：權(quán)限提升
tools/ssllatency.bt 將 SSL/TLS 握手延遲總結(jié)為直方圖
tools/sslsnoop.bt 跟蹤 SSL/TLS 握手，顯示延遲和返回值
tools/statsnoop.bt 跟蹤 stat() 系統(tǒng)調(diào)用以進行一般調(diào)試
tools/swapin.bt 按進程顯示交換
tools/syncsnoop.bt 跟蹤sync()各種系統(tǒng)調(diào)用
tools/syscount.bt 統(tǒng)計系統(tǒng)調(diào)用
tools/tcpaccept.bt 跟蹤 TCP 被動連接 (accept())
tools/tcpconnect.bt 跟蹤 TCP 活動連接 (connect())
tools/tcpdrop.bt 跟蹤基于內(nèi)核的 TCP 數(shù)據(jù)包丟失的詳細(xì)信息
tools/tcplife.bt 使用連接詳細(xì)信息跟蹤 TCP 會話生命周期
tools/tcpretrans.bt 跟蹤 TCP 重傳
tools/ tcpsynbl.bt 以直方圖形式顯示 TCP SYN 積壓
tools/threadsnoop.bt 列出新線程創(chuàng)建
tools/undump.bt 捕獲 UNIX 域套接字包
tools/vfscount.bt 統(tǒng)計 VFS 調(diào)用
tools/vfsstat.bt 對一些 VFS 調(diào)用進行計數(shù)，并提供每秒摘要
tools/writeback.bt 跟蹤文件系統(tǒng)寫回事件的詳細(xì)信息
tools/xfsdist.bt 將 XFS 操作延遲分布總結(jié)為直方圖

工具	說明
tools/bashreadline.bt	在系統(tǒng)范圍內(nèi)打印輸入的bash命令
tools/biolatency.bt	以直方圖形式顯示塊I/O延遲
tools/biosnoop.bt	塊I/O跟蹤工具，顯示每個I/O延遲
tools/biostacks.bt	使用初始化堆棧顯示磁盤 I/O 延遲
tools/bitesize.bt	以直方圖形式顯示磁盤 I/O 大小
tools/capable.bt	跟蹤安全能力檢查
tools/cpuwalk.bt	采樣哪些 CPU 正在執(zhí)行進程
tools/dcsnoop.bt	跟蹤目錄條目緩存 (dcache) 查找
tools/execsnoop.bt	通過 exec() 系統(tǒng)調(diào)用跟蹤新進程
tools/gethostlatency.bt	顯示 getaddrinfo/gethostbyname[2] 調(diào)用的延遲
tools/killsnoop.bt	由kill()系統(tǒng)調(diào)用發(fā)出的跟蹤信號
tools/loads.bt	打印負(fù)載平均值
tools/mdflush.bt	跟蹤 md 刷新事件
tools/naptime.bt	顯示自愿睡眠呼叫
tools/opensnoop.bt	跟蹤顯示文件名的 open() 系統(tǒng)調(diào)用
tools/oomkill.bt	跟蹤 OOM 殺手
tools/pidpersec.bt	計算新進程（通過 fork）
tools/runqlat.bt	CPU 調(diào)度程序運行隊列延遲作為直方圖
tools/runqlen.bt	CPU 調(diào)度程序運行隊列長度作為直方圖
tools/setuids.bt	跟蹤 setuid 系統(tǒng)調(diào)用：權(quán)限提升
tools/ssllatency.bt	將 SSL/TLS 握手延遲總結(jié)為直方圖
tools/sslsnoop.bt	跟蹤 SSL/TLS 握手，顯示延遲和返回值
tools/statsnoop.bt	跟蹤 stat() 系統(tǒng)調(diào)用以進行一般調(diào)試
tools/swapin.bt	按進程顯示交換
tools/syncsnoop.bt	跟蹤sync()各種系統(tǒng)調(diào)用
tools/syscount.bt	統(tǒng)計系統(tǒng)調(diào)用
tools/tcpaccept.bt	跟蹤 TCP 被動連接 (accept())
tools/tcpconnect.bt	跟蹤 TCP 活動連接 (connect())
tools/tcpdrop.bt	跟蹤基于內(nèi)核的 TCP 數(shù)據(jù)包丟失的詳細(xì)信息
tools/tcplife.bt	使用連接詳細(xì)信息跟蹤 TCP 會話生命周期
tools/tcpretrans.bt	跟蹤 TCP 重傳
tools/ tcpsynbl.bt	以直方圖形式顯示 TCP SYN 積壓
tools/threadsnoop.bt	列出新線程創(chuàng)建
tools/undump.bt	捕獲 UNIX 域套接字包
tools/vfscount.bt	統(tǒng)計 VFS 調(diào)用
tools/vfsstat.bt	對一些 VFS 調(diào)用進行計數(shù)，并提供每秒摘要
tools/writeback.bt	跟蹤文件系統(tǒng)寫回事件的詳細(xì)信息
tools/xfsdist.bt	將 XFS 操作延遲分布總結(jié)為直方圖

審核編輯黃宇

聲明：本文內(nèi)容及配圖由入駐作者撰寫或者入駐合作網(wǎng)站授權(quán)轉(zhuǎn)載。文章觀點僅代表作者本人，不代表電子發(fā)燒友網(wǎng)立場。文章及其配圖僅供工程師學(xué)習(xí)之用，如有內(nèi)容侵權(quán)或者其他違規(guī)問題，請聯(lián)系本站處理。舉報投訴

嵌入式

嵌入式

+關(guān)注

關(guān)注
5059

文章
18973

瀏覽量
302024

Linux

Linux

+關(guān)注

關(guān)注
87

文章
11207

瀏覽量
208717

Ubuntu

Ubuntu

+關(guān)注

關(guān)注
5

文章
559

瀏覽量
29503

收藏人收藏

掃一掃，分享給好友

復(fù)制鏈接分享

評論

發(fā)布評論請先登錄

相關(guān)推薦

解構(gòu)內(nèi)核源碼eBPF樣例編譯過程

了解和掌握純c語言的ebpf編譯和使用，有助于我們加深對于eBPF技術(shù)原理的進一步掌握，也有助于開發(fā)符合自己業(yè)務(wù)需求的高性能的ebpf程序。

發(fā)表于 04-17 14:05 ?1486次閱讀

Linux跟蹤工具bpftrace的原理和使用

這篇文章介紹一個基于ebpf技術(shù)的強大工具--bpftrace。

發(fā)表于 09-01 15:10 ?1791次閱讀

基于ebpf的性能工具-bpftrace腳本語法

，并且介紹了如何運行bpftrace腳本，這篇文章將介紹bpftrace腳本的語法。基于ubuntu22.04-深入淺出 eBPF 基于ebpf的

發(fā)表于 09-04 16:04 ?924次閱讀

openEuler 倡議建立 eBPF 軟件發(fā)布標(biāo)準(zhǔn)

eBPF 被廣泛應(yīng)用在云原生、可觀測、性能調(diào)優(yōu)、安全、硬件加速等領(lǐng)域，并且其應(yīng)用場景還在快速擴展，各種場景基于 eBPF 技術(shù)的創(chuàng)新 idea 呈現(xiàn)井噴現(xiàn)象，eBPF 的時代已經(jīng)來臨

發(fā)表于 12-23 16:21

強勁的Linux Trace工具 bpftrace for Linux 2018

本文主要是Brendan Gregg在介紹 bpftrace在2018年的開發(fā)進展，以及對bpftrace的介紹和對Dtrace的區(qū)別介紹。

發(fā)表于 06-04 15:44 ?1.2w次閱讀

eBPF是什么以及eBPF能干什么

規(guī)則使用基于寄存器的虛擬機來描述包過濾的行為。比較常用的功能是通過過濾來統(tǒng)計流量，tcpdump工具就是基于BPF實現(xiàn)的。而eBPF對它進行了擴展來實現(xiàn)更多的功能。主要區(qū)別如下： 1）允許使用C 語言編寫

發(fā)表于 07-05 15:17 ?1.2w次閱讀

eBPF深入理解和實現(xiàn)原理

簡單來說，wBPF 是一個在硬件上直接執(zhí)行 eBPF 程序的系統(tǒng)。

發(fā)表于 06-14 09:25 ?3477次閱讀

介紹eBPF針對可觀測場景的應(yīng)用

隨著eBPF推出，由于具有高性能、高擴展、安全性等優(yōu)勢，目前已經(jīng)在網(wǎng)絡(luò)、安全、可觀察等領(lǐng)域廣泛應(yīng)用，同時也誕生了許多優(yōu)秀的開源項目，如Cilium、Pixie等，而iLogtail 作為阿里內(nèi)外千萬實例可觀測數(shù)據(jù)的采集器，eBPF

發(fā)表于 08-11 09:10 ?1516次閱讀

openEuler倡議建立eBPF軟件發(fā)布標(biāo)準(zhǔn)

eBPF 是一個能夠在內(nèi)核運行沙箱程序的技術(shù)，提供了一種在內(nèi)核事件和用戶程序事件發(fā)生時安全注入代碼的機制，使得非內(nèi)核開發(fā)人員也可以對內(nèi)核進行控制。隨著內(nèi)核的發(fā)展，eBPF 逐步從最初的數(shù)據(jù)包過濾

發(fā)表于 12-06 10:29 ?530次閱讀

Linux 內(nèi)核：eBPF優(yōu)勢和eBPF潛力總結(jié)

Express Data Path (XDP)：網(wǎng)絡(luò)驅(qū)動程序是最早可以附加 XDP BPF 鉤子的點。當(dāng)收到一個數(shù)據(jù)包時，eBPF 程序就會被觸發(fā)運行。

發(fā)表于 01-10 11:37 ?3001次閱讀

什么是eBPF，eBPF為何備受追捧？

用云杉網(wǎng)絡(luò) VP 向陽的話來說：“ eBPF 最重要（沒有之一）的特點是安全性” 。他表示，以往必須編寫內(nèi)核模塊才能做到的工作現(xiàn)在基本都能做到。

發(fā)表于 05-06 11:41 ?2186次閱讀

eBPF的前世今生？eBPF在使用中遇到的問題有哪些？

在介紹eBPF (Extended Berkeley Packet Filter)之前，我們先來了解一下它的前身－BPF (Berkeley Packet Filter)伯克利數(shù)據(jù)包過濾器。

發(fā)表于 08-12 15:10 ?1538次閱讀

ebpf的快速開發(fā)工具--libbpf-bootstrap

基于ubuntu22.04-深入淺出 eBPF 基于ebpf的性能工具-bpftrace 基于ebpf

發(fā)表于 09-25 09:04 ?881次閱讀

基于ebpf的性能工具應(yīng)用

曾利用Valgrind工具成功地發(fā)現(xiàn)并解決了一個隱藏在軟件中的bug，這充分體現(xiàn)了工具在開發(fā)過程中的重要性。然而，同樣強大的bpftrace工具同樣具備簡潔而直觀的特點，能夠協(xié)助我們

發(fā)表于 11-08 16:19 ?380次閱讀

eBPF動手實踐系列三：基于原生libbpf庫的eBPF編程改進方案簡析

在上一篇文章《eBPF動手實踐系列二：構(gòu)建基于純C語言的eBPF項目》中，我們初步實現(xiàn)了脫離內(nèi)核源碼進行純C語言eBPF項目的構(gòu)建。libbpf庫在早期和內(nèi)核源碼結(jié)合的比較緊密，如今的libbpf庫更加成熟，已經(jīng)完全脫離內(nèi)核源碼

發(fā)表于 03-19 14:19 ?711次閱讀