Linux bpftrace 命令
bpftrace 是一个基于 eBPF (扩展伯克利包过滤器) 的高级追踪工具,它允许开发者在不修改内核代码的情况下,动态地观察和分析 Linux 系统的运行状态。
eBPF 是 Linux 内核中的一项革命性技术,它提供了一个安全的虚拟机环境,可以在内核中运行用户定义的代码。bpftrace 构建在 eBPF 之上,提供了一个更简单、更高级的抽象层。
bpftrace 的核心优势
实时系统观测
无需重启系统或应用极低的性能开销可以观测内核和用户空间程序
灵活的探测能力
支持多种探测点类型:函数入口/出口、定时器、硬件事件等可以追踪系统调用、网络事件、磁盘 I/O 等
简单的脚本语言
类似 AWK 的语法,学习曲线平缓内置丰富的函数和变量支持条件过滤和聚合统计
bpftrace 安装与配置
安装方法
实例
# Ubuntu/Debian
sudo apt install bpftrace
# CentOS/RHEL
sudo yum install bpftrace
# 从源码编译
git clone https://github.com/iovisor/bpftrace.git
mkdir bpftrace/build && cd bpftrace/build
cmake ..
make
sudo make install
验证安装
sudo bpftrace -e 'BEGIN { printf("Hello, bpftrace!n"); }'
bpftrace 基本语法
bpftrace 程序由探测点(probe)和关联的动作(action)组成,基本结构如下:
万物追踪
AI 追踪任何你关心的信息
44 查看详情
probe /filter/ { action}
探测点类型
kprobe内核函数入口kprobe:vfs_readkretprobe内核函数返回kretprobe:vfs_readuprobe用户空间函数入口uprobe:/bin/bash:readlinetracepoint内核静态追踪点tracepoint:syscalls:sys_enter_openinterval定时触发interval:s:5software软件事件software:faults:major
常用内置变量
pid:当前进程 IDtid:当前线程 IDcomm:当前进程名nsecs:纳秒级时间戳arg0–argN:函数参数retval:函数返回值
bpftrace 实用示例
1. 追踪系统调用
实例
# 统计 open 系统调用的次数
sudo bpftrace -e ‘tracepoint:syscalls:sys_enter_open { @[comm] = count(); }’
2. 分析函数执行时间
实例
# 测量 vfs_read 的执行时间
sudo bpftrace -e ‘
kprobe:vfs_read { @start[tid] = nsecs; }
kretprobe:vfs_read /@start[tid]/ {
@times = hist(nsecs – @start[tid]);
delete(@start[tid]);
}’
3. 监控进程的文件访问
实例
# 跟踪指定进程打开的文件
sudo bpftrace -e ‘tracepoint:syscalls:sys_enter_openat /pid == 1234/ { printf(“%s -> %sn”, comm, str(args->filename)); }’
4. 统计 TCP 连接
实例
# 按进程统计 TCP 连接数
sudo bpftrace -e ‘kprobe:tcp_connect { @[comm] = count(); }’
bpftrace 高级特性
1. 地图(Map)功能
bpftrace 提供了多种内置地图类型用于数据聚合:
实例
# 统计直方图
@hist = hist(nsecs);
# 计算平均值
@avg = avg(nsecs);
# 统计唯一值
@unique = count();
2. 条件过滤
实例
# 只追踪特定进程的 read 调用
tracepoint:syscalls:sys_enter_read /pid == 1234/ {
printf(“PID %d reading %d bytesn”, pid, args->count);
}
3. 多探针组合
实例
# 跟踪从 socket 创建到连接的全过程
kprobe:sock_alloc {
@socket[tid] = 1;
}
kprobe:tcp_connect /@socket[tid]/ {
printf(“socket %d connecting to %s:%dn”, args->sock->__sk_common.skc_dport,
ntop(args->sock->__sk_common.skc_daddr),
args->sock->__sk_common.skc_dport);
delete(@socket[tid]);
}
bpftrace 最佳实践
限制追踪范围:使用 PID 或命令名过滤,减少系统开销避免过度打印:过多的 printf 会影响性能使用聚合:尽量使用 count()、sum() 等聚合函数清理资源:长时间运行的脚本要定期清理地图数据安全考虑:bpftrace 需要 root 权限,谨慎运行未知脚本
bpftrace 与其他工具对比
bpftrace灵活、高性能、易用需要 root 权限strace简单、无需编译性能开销大perf功能全面、低开销学习曲线陡峭SystemTap功能强大需要编译、配置复杂
学习资源推荐
bpftrace 官方文档bpftrace 单行教程bpftrace 示例仓库
bpftrace 是系统性能分析和故障排查的强大工具,通过实践这些示例和掌握其核心概念,你将能够更深入地理解和优化 Linux 系统的运行行为。
以上就是linux动态内核追踪工具是什么-bpftrace 命令使用与实例的详细内容,更多请关注创想鸟其它相关文章!
版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。
如发现本站有涉嫌抄袭侵权/违法违规的内容, 请发送邮件至 chuangxiangniao@163.com 举报,一经查实,本站将立刻删除。
发布者:程序猿,转转请注明出处:https://www.chuangxiangniao.com/p/456922.html
微信扫一扫 
支付宝扫一扫 
