发帖
翼度科技»论坛 云主机 LINUX 查看内容

【eBPF-03】进阶:BCC 框架中 BPF 映射的应用 v1.0

御医

4

主题

4

帖子

12

积分

新手上路

Rank: 1

积分
12
显示全部楼层
eBPF 中实现内核态代码与用户态代码是可以实时通信的,这主要靠 BPF 映射 来实现。
BPF 映射 是内核空间的一段内存,以 键值对 的方式存储。内核态程序可以直接访问 BPF 映射,用户态需要通过系统调用才能访问这段地址。
BPF 映射有很多种类型,如下表所示。
类型说明BPF_HASH哈希表BPF_ARRAY数组BPF_HISTOGRAM直方图BPF_STACK_TRACE跟踪栈BPF_PERF_ARRAY硬件性能数组BPF_PERCPU_HASH单CPU哈希表BPF_PERCPU_ARRAY单CPU数组BPF_LPM_TRIE最长前缀匹配映射BPF_PROG_ARRAY尾调用程序数组......本文列举了使用 eBPF + BCC 实现的多个工具源码,索引如下表。
工具名称工具用途工具使用的 MAP涉及的具体 MAP 用法killsnoop检测进程被 kill 时的状态BPF_HASH内核态传递数据filetop检测指定时间周期内读写文件的 top 列表BPF_HASH内核态向用户态传递数据usercheck检测当前进程执行的用户BPF_HASH用户态向内核态传递数据pidpersec检测周期内通过 fork 创建的进程总数BPF_ARRAY保存全局数据vfsreadlat周期性打印 vfs 文件读取操作耗时分布情况BPF_HISTOGRAM直方图统计stacksnoop打印内核某个函数执行时的调用栈信息BPF_STACK_TRACE内核函数跟踪栈1 哈希表

哈希表与我们熟悉的 hash_map 实现和用法相似,都是由 key/value 组成,在 eBPF 程序中按需分配和释放。
我们来看几个应用了 BPF_HASH 的例子。
工具1 killsnoop

(改编自 Brendan Gregg 大神给出的源码)—— 用来检测进程被 kill 时的状态。
点击查看代码
  1. from bcc import BPF
  2. from bcc.utils import printb
  3. from time import strftime
  5. # define BPF program
  6. bpf_text = """
  7. #include <uapi/linux/ptrace.h>
  8. #include <linux/sched.h>
  10. struct val_t {
  11.         u32 pid;
  12.         int sig;
  13.         int tpid;
  14.         char comm[TASK_COMM_LEN];
  15. };
  17. struct data_t {
  18.         u32 pid;
  19.         int tpid;
  20.         int sig;
  21.         int ret;
  22.         char comm[TASK_COMM_LEN];
  23. };
  24. // 定义 BPF_HASH 名称为 infotmp,key 类型为 u32,val 类型为 struct val_t
  25. BPF_HASH(infotmp, u32, struct val_t);
  26. BPF_PERF_OUTPUT(events);
  28. int syscall__kill(struct pt_regs *ctx, int tpid, int sig) {
  29.         u64 pid_tgid = bpf_get_current_pid_tgid();
  30.         u32 pid = pid_tgid >> 32;
  31.         u32 tid = (u32)pid_tgid;
  33.         struct val_t val = {.pid = pid};
  34.         if (bpf_get_current_comm(&val.comm, sizeof(val.comm)) == 0) {
  35.                 val.tpid = tpid;
  36.                 val.sig = sig;
  37.                 infotmp.update(&tid, &val);                // 根据 (key, val) 更新 BPF_HASH
  38.         }
  40.         return 0;
  41. };
  43. int do_ret_sys_kill(struct pt_regs *ctx) {
  44.         struct data_t data = {};
  45.         struct val_t *valp;
  46.         u64 pid_tgid = bpf_get_current_pid_tgid();
  47.         u32 pid = pid_tgid >> 32;
  48.         u32 tid = (u32)pid_tgid;
  50.         valp = infotmp.lookup(&tid);                // 根据 key 查找 BPF_HASH
  51.         if (valp == 0) {
  52.                 // missed entry
  53.                 return 0;
  54.         }
  56.         bpf_probe_read_kernel(&data.comm, sizeof(data.comm), valp->comm);
  57.         data.pid = pid;
  58.         data.tpid = valp->tpid;
  59.         data.ret = PT_REGS_RC(ctx);
  60.         data.sig = valp->sig;
  62.         events.perf_submit(ctx, &data, sizeof(data));
  63.         infotmp.delete(&tid);                // 根据 key 删除 BPF_HASH 记录
  65.         return 0;
  66. }
  67. """
  68. # initialize BPF
  69. b = BPF(text=bpf_text)
  70. kill_fnname = b.get_syscall_fnname("kill")
  71. b.attach_kprobe(event=kill_fnname, fn_name="syscall__kill")
  72. b.attach_kretprobe(event=kill_fnname, fn_name="do_ret_sys_kill")
  73. # header
  74. print("%-9s %-16s %-16s %-4s %-16s %s" % ("TIME", "PID", "COMM", "SIG",  "TPID", "RESULT"))
  76. # process event
  77. def print_event(cpu, data, size):
  78.     event = b["events"].event(data)
  79.     printb(b"%-9s %-16d %-16s %-4d %-16d %d" % (strftime("%H:%M:%S").encode('ascii'), event.pid, event.comm, event.sig, event.tpid, event.ret))
  81. # loop with callback to print_event
  82. b["events"].open_perf_buffer(print_event)
  83. while 1:
  84.     try:
  85.         b.perf_buffer_poll()
  86.     except KeyboardInterrupt:
  87.         exit()
复制代码
这个例子给出了 BPF_HASH 在内核态不同函数事件阶段之间传递消息的基本使用方式。主要有几个关键点:

  • BPF_HASH(infotmp, u32, struct val_t):定义一个 BPF 哈希表,前三个参数分别为:哈希表名称,key 的类型,val 的类型;
  • infotmp.update(&tid, &val):更新 (key, val);
  • infotmp.lookup(&tid):查询 key 对应的 val;
  • infotmp.delete(&tid):删除 (key, val);
这段程序最终的运行结果如下。

工具2 filetop

(同样改编自 Brendan Gregg 的源码)—— 用来检测指定时间周期内读写文件的 top 列表。
点击查看代码
  1. #!/usr/bin/python3
  2. from bcc import BPF
  3. from time import sleep, strftime
  5. # define BPF program
  6. bpf_text = """
  7. #include <uapi/linux/ptrace.h>
  8. #include <linux/blkdev.h>
  9. // the key for the output summary
  10. struct info_t {
  11.         unsigned long inode;
  12.         dev_t dev;
  13.         dev_t rdev;
  14.         u32 pid;
  15.         u32 name_len;
  16.         char comm[TASK_COMM_LEN];                // 进程名
  17.         // de->d_name.name may point to de->d_iname so limit len accordingly
  18.         char name[DNAME_INLINE_LEN];                // 文件名
  19.         char type;
  20. };
  21. // the value of the output summary
  22. struct val_t {
  23.         u64 reads;
  24.         u64 writes;
  25.         u64 rbytes;
  26.         u64 wbytes;
  27. };
  28. BPF_HASH(counts, struct info_t, struct val_t);                // 定义 HASH 表,key 和 val 均为一个结构体
  30. static int do_entry(struct pt_regs *ctx, struct file *file, char __user *buf, size_t count, int is_read) {
  31.         u32 tgid = bpf_get_current_pid_tgid() >> 32;
  32.         u32 pid = bpf_get_current_pid_tgid();
  34.         // skip I/O lacking a filename
  35.         struct dentry *de = file->f_path.dentry;
  36.         int mode = file->f_inode->i_mode;
  37.         struct qstr d_name = de->d_name;
  38.         if (d_name.len == 0)
  39.                 return 0;
  41.         // store counts and sizes by pid & file
  42.         struct info_t info = {
  43.                 .pid = pid,
  44.                 .inode = file->f_inode->i_ino,
  45.                 .dev = file->f_inode->i_sb->s_dev,
  46.                 .rdev = file->f_inode->i_rdev,
  47.         };
  48.         bpf_get_current_comm(&info.comm, sizeof(info.comm));
  49.         info.name_len = d_name.len;
  50.         bpf_probe_read_kernel(&info.name, sizeof(info.name), d_name.name);
  51.         // 区分操作的类型
  52.         if (S_ISREG(mode)) {
  53.                 info.type = 'R';
  54.         } else if (S_ISSOCK(mode)) {
  55.                 info.type = 'S';
  56.         } else {
  57.                 info.type = 'O';
  58.         }
  60.         struct val_t *valp, zero = {};
  61.         valp = counts.lookup_or_try_init(&info, &zero);                // 内核态尝试获取指定 key 的 val,若 val == NULL,则赋予一个默认值
  62.         if (valp) {
  63.                 if (is_read) {
  64.                         valp->reads++;
  65.                         valp->rbytes += count;
  66.                 } else {
  67.                         valp->writes++;
  68.                         valp->wbytes += count;
  69.                 }
  70.         }
  71.         return 0;
  72. }
  74. int trace_read_entry(struct pt_regs *ctx, struct file *file, char __user *buf, size_t count) {
  75.         return do_entry(ctx, file, buf, count, 1);
  76. }
  78. int trace_write_entry(struct pt_regs *ctx, struct file *file, char __user *buf, size_t count) {
  79.         return do_entry(ctx, file, buf, count, 0);
  80. }
  81. """
  83. # initialize BPF
  84. b = BPF(text=bpf_text)
  85. b.attach_kprobe(event="vfs_read", fn_name="trace_read_entry")
  86. b.attach_kprobe(event="vfs_write", fn_name="trace_write_entry")
  88. # check whether hash table batch ops is supported
  89. htab_batch_ops = True if BPF.kernel_struct_has_field(b'bpf_map_ops', b'map_lookup_and_delete_batch') == 1 else False
  90. DNAME_INLINE_LEN = 32  # linux/dcache.h
  91. interval = 1
  92. exiting = 0
  94. def sort_fn(counts):
  95.         return (counts[1].rbytes + counts[1].wbytes + counts[1].reads + counts[1].writes)
  97. while 1:
  98.         try:
  99.                 sleep(interval)
  100.         except KeyboardInterrupt:
  101.                 exit()
  103.         print('Tracing... Output every %d secs. Hit Ctrl-C to end' % interval)
  104.         print("%-7s %-16s %-6s %-6s %-7s %-7s %1s %s" % ("TID", "COMM", "READS", "WRITES", "R_Kb", "W_Kb", "T", "FILE"))
  106.         # 用户态获取 BPF_HASH
  107.         counts = b.get_table("counts")
  108.         # 这里遍历整个 BPF_HASH
  109.         for k, v in reversed(sorted(counts.items_lookup_and_delete_batch()
  110.                                 if htab_batch_ops else counts.items(),
  111.                                 key=sort_fn)):
  112.                 name = k.name.decode('utf-8', 'replace')
  113.                 if k.name_len > DNAME_INLINE_LEN:
  114.                         name = name[:-3] + "..."
  116.         # print line
  117.                 print("%-7d %-16s %-6d %-6d %-7d %-7d %1s %s" % (k.pid,
  118.                         k.comm.decode('utf-8', 'replace'), v.reads, v.writes,
  119.                         v.rbytes / 1024, v.wbytes / 1024,
  120.                         k.type.decode('utf-8', 'replace'), name))
  121.         # 用户态清空 BPF_HASH
  122.         if not htab_batch_ops:
  123.                 counts.clear()
复制代码
这个例子给出了 BPF_HASH 用于内核态向用户态传递数据的场景。主要有以下几个关键点:

  • BPF_HASH(counts, struct info_t, struct val_t):本次声明的哈希表,key 和 val 均为一个结构体,这在实操上是常见的。不过要注意 eBPF 运行栈大小限制。
  • valp = counts.lookup_or_try_init(&info, &zero):内核态的查找辅助函数,和 lookup() 用法相同,不过此函数安全性更高。若获取的 val 为空,则为其赋予一个初始值 zero。(注意,获取的 val 是一个指针,可以直接操作器结构体数据)
  • counts = b.get_table("counts"):用于用户态获取定义的 eBPF_HASH。
  • counts.items():返回所有的 (key, val),用于用户态遍历哈希表。
  • counts.clear():清空整张哈希表。
  • htab_batch_ops:这段代码定义了一个特殊的标志位,用来判断当前版本的 eBPF 是否支持 items_lookup_and_delete_batch() 辅助函数。
  • items_lookup_and_delete_batch():内核 5.6 版本才引入该函数。作用同 items() + clear(),即,获取所有的 (key, val),并清空整个哈希表。
这段代码通过 interval 变量控制检测周期(当前为 1s),并按照这个周期,检测打印进程访问文件的一个热度表,按照字节降序排列。如下图所示:

工具3 usercheck

(改编自《Learning eBPF》一书第二章给给出的部分代码)——用来检测当前进程执行的用户。
点击查看代码
  1. #!/usr/bin/python3
  2. from bcc import BPF
  3. from ctypes import *
  5. bpf_text = '''
  6. struct user_msg_t {
  7.         char message[12];
  8. };
  10. BPF_HASH(config, u32, struct user_msg_t);
  11. BPF_PERF_OUTPUT(events);
  13. struct data_t {
  14.         int pid;
  15.         int uid;
  16.         char command[16];
  17.         char message[12];
  18. };
  20. int check_user(void *ctx) {
  21.         struct data_t data = {};
  22.         struct user_msg_t *p;
  23.         char message[12] = "Hello World";
  25.         data.pid = bpf_get_current_pid_tgid() >> 32;
  26.         data.uid = bpf_get_current_uid_gid() & 0xFFFFFFFF;
  27.         bpf_get_current_comm(&data.command, sizeof(data.command));
  29.         p = config.lookup(&data.uid);
  30.         if (p != 0) {
  31.                 bpf_probe_read_kernel(&data.message, sizeof(data.message), p->message);
  32.         } else {
  33.                 bpf_probe_read_kernel(&data.message, sizeof(data.message), message);
  34.         }
  36.         events.perf_submit(ctx, &data, sizeof(data));
  37.         return 0;
  38. }
  39. '''
  41. # initialize BPF
  42. b = BPF(text=bpf_text)
  43. execve_fnname = b.get_syscall_fnname("execve")
  44. b.attach_kprobe(event=execve_fnname, fn_name="check_user")
  45. # 用户态获取 HASH
  46. config = b.get_table("config")
  47. # 用户态修改 HASH
  48. config[c_int(0)] = create_string_buffer(b"Hello, Root!")
  49. config[c_int(1000)] = create_string_buffer(b"Hello, User 501!")
  51. print("%-10s %-10s %-16s %s" % ("PID", "UID", "COMM", "MSG"))
  52. def print_event(cpu, data, size):
  53.         event = b["events"].event(data)
  54.         print("%-10d %-10d %-16s %s" % (event.pid, event.uid, event.command.decode('utf-8'), event.message.decode('utf-8')))
  56. b["events"].open_perf_buffer(print_event)
  57. while 1:
  58.         try:
  59.                 b.perf_buffer_poll()
  60.         except KeyboardInterrupt:
  61.                 exit()
复制代码
这个例子给出了一个用户态主动修改 BPF_HASH 的情况。关键点:

  • config[c_int(0)] = create_string_buffer(b"Hello, Root!"):修改的方式与常规的 hash_map 类似,但是,key 和 val 的类型转换是必不可少的步骤。
python 到 C 的类型转换可以通过 ctypes 库来实现。可直接通过 pip3 install stypes 安装。
注意:
用户态可以通过这种方式向内核态传入数据,但千万要慎之又慎用这种方式去控制内核 BPF 程序的执行流程。内核态无法阻塞等待用户态处理复杂逻辑后的响应(如创建另一个进程)。[引用-1]
举例来说,当这个程序不是在最初就设定了 BPF_HASH 的值,而是通过内核传出的用户 uid动态地去打开系统文件检索用户 username,那么这个工具将无法实现预期功能了。这是因为,在当前进程执行的 execve 挂载点,用户态并没有来得及执行下一个 open 进程,因此,其通过 lookup() 获得的 username 将始终为空。
运行结果:

2 数组

工具4 pidpersec

(改编自 Brendan Gregg 给出的源码)—— 用于检测周期内通过 fork 创建的进程总数。
点击查看代码
  1. #!/usr/bin/python3
  2. from bcc import BPF
  3. from ctypes import c_int
  4. from time import sleep, strftime
  6. # load BPF program
  7. b = BPF(text="""
  8. #include <uapi/linux/ptrace.h>
  9. enum stat_types {
  10.         S_COUNT = 1,
  11.         S_MAXSTAT
  12. };
  13. BPF_ARRAY(stats, u64, S_MAXSTAT);                // 创建 ARRAY,名称为 stats,val 的类型为 u64,val 的最大数量为 S_MAXSTAT = 2
  15. static void stats_increment(int key) {
  16.         stats.atomic_increment(key);                // 索引为 key 的 val 原子自增操作
  17. }
  19. void do_count(struct pt_regs *ctx) { stats_increment(S_COUNT); }
  20. """)
  21. b.attach_kprobe(event="sched_fork", fn_name="do_count")
  23. # stat indexes
  24. S_COUNT = c_int(1)
  25. interval = 1                # 打印周期
  27. # header
  28. print("Tracing... Ctrl-C to end.")
  29. # output
  30. while (1):
  31.         try:
  32.                 sleep(interval)
  33.         except KeyboardInterrupt:
  34.                 exit()
  36.         print("%s: PIDs/sec: %d" % (strftime("%H:%M:%S"),
  37.                 b["stats"][S_COUNT].value))
  38.         b["stats"].clear()
复制代码
同为 BPF 映射类型,BPF_ARRAY 可以被看作为一类特殊的 BPF_HASH( ARRAY 的 key 从 0 开始,为非零整数),但有一下几点区别。

  • BPF_ARRAY 在初始化时会预先分配空间,并设置为零。
  • BPF_ARRAY 的大小是固定的,其元素不能被删除。
  • BPF_ARRAY 通常用于保存 val 可能会更新的信息,由于 key 默认为非负整数索引,因此,其固定索引的 val 通常代表一个意义。
  • BPF_ARRAY 和 BPF_HASH 一样,在执行更新操作时,不能保证原子性。需要进行额外的手段来保证原子操作。
实际上, HASH 和 ARRAY 在初始化时,都有一个默认的最大 size(10240)。只不过在使用 ARRAY 时,通常会指定其最大 size,以免预分配资源空间的浪费。
在此代码中,给出了一个 BPF_ARRAY 的常见用法,即,作为一个全局的计数器(跨用户态和内核态)。当然,若你问用 BPF_HASH 可不可以实现呢?答案自然是可以。数据结构并没有好坏之分,只有适合不适合之别。在此代码中:

  • BPF_ARRAY(stats, u64, S_MAXSTAT):定义一个数组,接受三个参数,分别为数组名,数组元素类型,数组大小。
  • stats.atomic_increment(key):由于修改数组元素时,不能保证原子性,因此这里需要手动调用辅助函数 atomic_increment() 为指定 key 的 val 做原子自增。
此工具运行截图。周期性打印 fork 出来的进程数量。

3 直方图

工具5 vfsreadlat

(改编自 Brendan Gregg 给出的源码)—— 用于周期性打印 vfs 文件读取操作耗时分布情况。
点击查看代码
  1. from bcc import BPF
  2. from time import sleep
  4. bpf_src = '''
  5. #include <uapi/linux/ptrace.h>
  6. BPF_HASH(start, u32);
  7. BPF_HISTOGRAM(dist);                // 创建一个直方图映射,名称为 dist
  9. int do_entry(struct pt_regs *ctx) {
  10.         u32 pid;
  11.         u64 ts;
  12.         pid = bpf_get_current_pid_tgid();
  13.         ts = bpf_ktime_get_ns();
  14.         start.update(&pid, &ts);
  15.         return 0;
  16. }
  17. int do_return(struct pt_regs *ctx) {
  18.         u32 pid;
  19.         u64 *tsp, delta;
  20.         pid = bpf_get_current_pid_tgid();
  21.         tsp = start.lookup(&pid);
  22.         if (tsp != 0) {
  23.                 delta = bpf_ktime_get_ns() - *tsp;
  24.                 dist.increment(bpf_log2l(delta / 1000));        // 修改直方图数据,key 为 bpf_log2l(delta / 1000),即 千分之差值的 2 的对数
  25.                 start.delete(&pid);
  26.         }
  27.         return 0;
  28. }
  29. '''
  30. # load BPF program
  31. b = BPF(text = bpf_src)
  32. b.attach_kprobe(event="vfs_read", fn_name="do_entry")
  33. b.attach_kretprobe(event="vfs_read", fn_name="do_return")
  34. # header
  35. print("Tracing... Hit Ctrl-C to end.")
  37. interval = 5
  38. count = -1
  39. loop = 0
  40. while (1):
  41.         if count > 0:
  42.                 loop += 1
  43.                 if loop > count:
  44.                         exit()
  45.         try:
  46.                 sleep(interval)
  47.         except KeyboardInterrupt:
  48.                 pass; exit()
  50.         print()
  51.         b["dist"].print_log2_hist("usecs")                # 打印直方图
  52.         b["dist"].clear()
复制代码
这个例子给出了一个新的 BPF_MAP 类型:直方图 BPF_HISTOGRAM。有以下几个关键:

  • BPF_HISTOGRAM(dist):创建了一个名为 dist 的直方图,默认值 BPF_HISTOGRAM(name, key_type=int, size=64)。
  • dist.increment():直方图调用 increment() 将值自增,来进行统计。
  • bpf_log2l(delta / 1000):该函数返回 log_2(delta/1000) 的值。这样做是为了压缩直方图统计范围。
  • b["dist"].print_log2_hist("usecs"):指定统计列名称为 usecs,打印直方图。
输出结果:

4 跟踪栈

工具6 stacksnoop

(改编自 Brendan Gregg 给出的源码)—— 用于打印内核某个函数执行时的调用栈信息。
点击查看代码
  1. from __future__ import print_function
  2. from bcc import BPF
  3. import argparse
  4. import time
  6. parser = argparse.ArgumentParser(
  7.         description="Trace and print kernel stack traces for a kernel function",
  8.         formatter_class=argparse.RawDescriptionHelpFormatter)
  9. parser.add_argument("function", help="kernel function name")
  11. function = parser.parse_args().function
  12. offset = False
  14. # define BPF program
  15. bpf_text = """
  16. #include <uapi/linux/ptrace.h>
  17. #include <linux/sched.h>
  19. struct data_t {
  20.         u64 stack_id;
  21.         u32 pid;
  22.         char comm[TASK_COMM_LEN];
  23. };
  24. BPF_STACK_TRACE(stack_traces, 128);                // 定义跟踪栈
  25. BPF_PERF_OUTPUT(events);
  27. void trace_stack(struct pt_regs *ctx) {
  28.         u32 pid = bpf_get_current_pid_tgid() >> 32;
  29.         struct data_t data = {};
  30.         data.stack_id = stack_traces.get_stackid(ctx, 0);                遍历通过 ctx 找到的堆栈,返回它的唯一 ID
  31.         data.pid = pid;
  32.         bpf_get_current_comm(&data.comm, sizeof(data.comm));
  33.         events.perf_submit(ctx, &data, sizeof(data));
  34. }
  35. """
  36. # initialize BPF
  37. b = BPF(text=bpf_text)
  38. b.attach_kprobe(event=function, fn_name="trace_stack")
  40. TASK_COMM_LEN = 16  # linux/sched.h
  42. matched = b.num_open_kprobes()                # 判断输入的 function 是否合法
  43. if matched == 0:
  44.         print("Function "%s" not found. Exiting." % function)
  45.         exit()
  47. stack_traces = b.get_table("stack_traces")                # 获取跟踪栈
  48. start_ts = time.time()
  50. # header
  51. print("%-18s %-12s %-6s %-3s %s" % ("TIME(s)", "COMM", "PID", "CPU", "FUNCTION"))
  53. def print_event(cpu, data, size):
  54.         event = b["events"].event(data)
  55.         ts = time.time() - start_ts
  56.         print("%-18.9f %-12.12s %-6d %-3d %s" % (ts, event.comm.decode('utf-8', 'replace'), event.pid, cpu, function))
  58.         for addr in stack_traces.walk(event.stack_id):                # 根据 stack.id 遍历堆栈
  59.                 sym = b.ksym(addr, show_offset=offset).decode('utf-8', 'replace')                # 将一个内核地址翻译成内核函数名
  60.                 print("\t%s" % sym)
  62.         print()
  64. b["events"].open_perf_buffer(print_event)
  65. while 1:
  66.         try:
  67.                 b.perf_buffer_poll()
  68.         except KeyboardInterrupt:
  69.                 exit()
复制代码
这个例子给出了 BPF_STACK_TRACE 跟踪栈的用法。关键在于:

  • BPF_STACK_TRACE(stack_traces, 128):定义一个跟踪栈,深度为 128。
  • stack_traces.get_stackid(ctx, 0):遍历通过 ctx 找到的堆栈,返回它的唯一 ID。
  • stack_traces = b.get_table("stack_traces"):用户态获取跟踪栈。
  • for addr in stack_traces.walk(event.stack_id):根据跟踪栈的唯一 id 遍历栈内元素,函数调用地址信息。拿到地址信息后,通过 b.ksym() 函数将其翻译为内核函数名。注意,b.ksym() 函数 接收一个 show_offset 参数,用于控制是否显示偏移地址。
  • matched = b.num_open_kprobes():另外,这段程序最终接收一个参数,作为跟踪的内核函数名。因此需要判断其是否合法。num_open_kprobes() 将返回能够匹配上的内核探针数量,这里被应用于检测输入的内核函数是否合法。
跟踪一个函数 do_execve,stacksnoop 运行效果如下:

总结

篇幅有限,本文先介绍这六个工具,主要涵盖了 BPF_HASH / BPF_ARRAY / BPF_HISTOGRAM / BPF_STACK_TRACE 这四种最常见的 BPF 映射 的使用方法。后面有精力的话,再补充 BPF 映射 的其他类型在 BCC 框架中的用法。
BCC 框架相关的中文材料目前不是很多,参考书也比较有限,本文涉及的源码大多改编自 Brendan Gregg 大神的开源项目,项目地址( https://github.com/iovisor/bcc )。感兴趣的朋友可以一起交流学习!

来源:https://www.cnblogs.com/lianyihong/p/17943519
免责声明:由于采集信息均来自互联网,如果侵犯了您的权益,请联系我们【E-Mail:cb@itdo.tech】 我们会及时删除侵权内容,谢谢合作!

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有账号?立即注册

x

上一篇: 【eBPF-03】进阶:BCC 框架中 BPF 映射的应用 v1.0

下一篇: 【eBPF-03】进阶:BCC 框架中 BPF 映射的应用 v1.0

发表于 2024-1-5 09:48:57

举报 回复 使用道具

返回列表 发新帖

Archiver|手机版|小黑屋|翼度科技

Copyright © 2001-2020, Tencent Cloud. Powered by Discuz! X3.4