ubuntu server 23.10
eBPF介绍
eBPF(Extended Berkeley Packet Filter,扩展的伯克利数据包过滤器)前身是BPF(Berkeley Packet Filter,伯克利数据包过滤器)。
BPF合入linux kernel,在tcpdump中应用。
eBPF应用广泛,eBPF程序由两类源文件组成,一类是运行于内核态的eBPF程序的源代码文件(只能用C语言开发,由clang编译器编译),另一类是向内核加载eBPF程序、从内核卸载eBPF程序、与内核数据交互、展现用户态程序逻辑的用户态程序的源代码文件。
安装依赖
apt-get update
apt-get install -y make clang llvm libelf-dev libbpf-dev bpfcc-tools libbpfcc-dev linux-tools-$(uname -r) linux-headers-$(uname -r)eBPF代码
内核态eBPF hello.c
// 包含头文件
#include <uapi/linux/openat2.h>
#include <linux/sched.h>
// 定义数据结构
struct data_t {
u32 pid;
u64 ts;
char comm[TASK_COMM_LEN];
char fname[NAME_MAX];
};
// 定义性能事件映射
BPF_PERF_OUTPUT(events);
// 定义kprobe处理函数
int hello_world(struct pt_regs *ctx, int dfd, const char __user * filename, struct open_how *how)
{
struct data_t data = { };
// 获取PID和时间
data.pid = bpf_get_current_pid_tgid();
data.ts = bpf_ktime_get_ns();
// 获取进程名
if (bpf_get_current_comm(&data.comm, sizeof(data.comm)) == 0)
{
bpf_probe_read(&data.fname, sizeof(data.fname), (void *)filename);
}
// 提交性能事件
events.perf_submit(ctx, &data, sizeof(data));
return 0;
}1. BPF_PERF_OUTPUT定义perf事件的BPF映射,用户态进程从BPF映射中读取。
2. 函数hello_world提交perf事件信息。
用户态eBPF hello.py
from bcc import BPF
# 1) load BPF program
b = BPF(src_file="hello.c")
b.attach_kprobe(event="do_sys_openat2", fn_name="hello_world")
# 2) print header
print("%-18s %-16s %-6s %-16s" % ("TIME(s)", "COMM", "PID", "FILE"))
# 3) define the callback for perf event
start = 0
def print_event(cpu, data, size):
global start
event = b["events"].event(data)
if start == 0:
start = event.ts
time_s = (float(event.ts - start)) / 1000000000
print("%-18.9f %-16s %-6d %-16s" % (time_s, event.comm, event.pid, event.fname))
# 4) loop with callback to print_event
b["events"].open_perf_buffer(print_event)
while 1:
try:
b.perf_buffer_poll()
except KeyboardInterrupt:
exit()1. 附加eBPF程序hello.c到内核函数do_sys_openat2。
2. 输出一行数据格式。
3. print_event函数定义数据处理的回调函数。
4. open_perf_buffer定义events的Perf事件映射,循环调用perf_buffer_poll读取映射内容,执行回调函数输出进程信息。
运行结果
参考资料
https://cloud.tencent.com/developer/article/1942628
https://tonybai.com/2022/07/05/develop-hello-world-ebpf-program-in-c-from-scratch/
标签:%-,perf,BPF,demo,eBPF,data,event From: https://www.cnblogs.com/WJQ2017/p/18022327