526互联

ebpf 单行程序学习

发布时间 2023-05-24 23:32:14作者: 济南小老虎

ebpf 单行程序学习

背景

公司方神借给我一本: 
《BPF之巅:洞悉linux系统和应用性能》纸质书
拿回家晚上在沙发上看了几天。 
感觉书很厚看的不是很系统。
仅能凭自己的感觉总结一下这些天的读书感悟。 
本来计划是2023年的春节 7 天长假系统的学习ebpf
但是因为学习Linux内核参数耽搁了。
工作后又各种忙和慌乱一直没有时间学习。
已经快跟上我立减肥flag倒的程度了。。。

一些基本理解

cbpf和ebpf的基本概念都不在阐述。 
我理解ebpf之后其实核心的工具主要是bcc以及bpftrace
bcc是高手们自己利用python或者是go语言编写的工具集,用于实现特定的功能。
bpftrace 可以用于实现单行程序,更加符合unix do one thing do it well的哲学。

本次向简单理一下bpftrace的单行程序的理解。 
便于后续的学习和使用。

bpftrace单行程序很类似于 awk 的语法。 通过attach 到不同的探针,跟踪点,来获取内核的核心信息

bpftrace的语法格式

注意:这些内容参照Brendan Greeg书中的附录部分。
bpftrace -e 'probe /filter/ {action;}'
通过这个命令就可以实现对特定探针的信息收集等工作。 

注意使用之前需要先安装 bpftrace 可以在线安装: yum install bpftrace -y 即可。 
注意 -e 表明是跟踪这个探针
     -l 列出探针,不跟踪
     -c 执行命令

bpftrace的部分举例

1. 跟踪新进程。包括进程参数
bpftrace  -e 'tracepoint:syscalls:sys_enter_execve { join(args->argv);}'

2. 统计系统调用的数量
timeout 3 bpftrace -e 'tracepoint:raw_syscalls:sys_enter {@[pid,comm] = count();}'
注意这个命令可以统计最近三秒内的系统调用数量。如果不加时间可以使用 ctrl + c 的方式终止跟踪执行打印

3. bpftrace -e 'software:page-faults:1 {@[pid,comm] = count();}'
注意 如果不知道有哪一些probe 可以使用可以通过这个命令来获取
bpftrace -l 'software:*'
注意 原作者的附录里面page-fault 是错误的,需要改为复数形式。

4. 统计vfs调用
bpftrace -e 'kprobe:vfs_* {@[probe] = count();}'
注意这个是内核及的 kprobe kernel-probe

5. 统计io尺寸。可以验证数据库的块大小相关
bpftrace -e 't:block:block_rq_issue {@bytes = hist(args->bytes);}'
注意 t 是 tracepoint的缩写。 

6. 按照pid和进程名统计
bpftrace -e 't:syscalls:sys_enter_connect {@[pid,comm] = count();}'

7. 直方图统计udp发送的字节数
timeout 3 bpftrace -e 'k:udp_sendmsg {@send_pytes = hist(arg2);}'

困了 今天到这。。