BPFtrace是一个基于BCC和eBPF技术的开源工具,同时提供高级编程语言用于创建功能强大的单行程序和BPFtrace工具。相较于BPF c和BPF python在自定义工具方面有着不可比拟的优势。有利于初学者快速创建属于自己的工具。
BPFtrace提供一种和c语言以及awk非常相似的编程语言,而Ftrace则使用一种自有语法来实现对内核的探测功能。由于Ftrace所需要的依赖比BPFtrace少,因此Ftrace更适用于嵌入式Linux,BPFtrace适合个人计算机或服务器。Ftrace在某些功能上经过专门的性能优化,因而在一些特定事件上Ftrace比BPFtrace更加高效。
从程序中可以看出bpftrace单行程序基本格式为:bpftrace -e 探针 {代码块} 探针 {代码块} ......,代码段需要放在单引号中,避免shell对其进行解释。文档程序的编写方式和单行程序一样。
这块打印用户态程序add函数的第一个参数,用内置变量arg0表示,通过映射变量a输出数据。若需要其他参数可以使用arg1、arg2 ...... argN表示。
通过两个例子让我们对bpftrace有个直观感受,但是在正式编写可用工具之前还需要熟悉几个知识点:
标识符的类型由探针类型决定。内核级别的探针可以使用“pbftrace -l”命令查看,这个命令会以标准格式完整的打印出bpftrace支持的点。用户态探针格式为‘uprobe:用户程序二进制文档的绝对地址:的函数名’。例如:
这会对bpftrace支持的所有以vfs_开头的内核函数进行插桩。通配符不仅可以在探针插桩上使用,而且也能在查找点上使用。例如:
7.1 内置变量:由bpftrace预先定义好,可以直接读取信息的变量。例如表示进程ID的pid变量,表示进程名的comm表示以纳秒为单位的nsecs等。
7.3 映射变量:使用映射表存储数据,以“@”作为前缀,同时也可以用作全局存储,在不同语句间传递数据。
目标:利用所学的知识点,计算进程调用vfs_read函数所需要的时间,并用直方图的形式打印。
程序使用kprobe对函数开始进行插桩,读取开始调用函数时的时间。使用kretprobe读取函数结束时的时间,然后两个时间做减法,计算出进程调用vfs_read函数的时间。最后利用hist函数将数据打印出来。这块使用/@start[pid]/作为过滤条件,是为了确保程序已经记录了函数调用的起始时间,否则会出现错误数据。眼跳测吉凶
网友评论 ()条 查看