经过0. 什么是ebpf中的介绍,我们希望直接使用支持co-re的内核,推荐5.x及之上,这样ebpf程序编写起来就方便多了。
ebpf代码的开发需要依赖下面的工具
- 编译ebpf的LLVM
- C语言编译工具make
- ebpf工具集与其依赖的内核头文件
- libbpf库
- ebpf管理工具bpftools
ubunt直接执行下面的命令即可完成安装
sudo apt-get install -y make clang llvm libelf-dev libbpf-dev bpfcc-tools libbpfcc-dev linux-tools-$(uname -r) linux-headers-$(uname -r)ebpf程序的开发执行过程可以分为下面几步
- 编写ebpf程序并编译为bpf字节码
- 通过bpf系统调用,将bpf字节码提交到内核
- 内核通过验证就可以等待触发执行了
- 用户程序可以通过map与ebpf进行交互
如果是入门的话,或者不需要深入了解ebpf底层,可以借助BCC工具来简化ebpf程序的开发过程。
监控openat的程序示例
正如标题,实现一个openat系统调用触发的ebpf程序。
使用c编写ebpf程序
借助bpf辅助函数来完成开发
int hello_world(void *ctx)
{
bpf_trace_printk("Hello, World!");
return 0;
}这段代码会在内核当中。这里的bpf_trace_printk函数会将字符串输出到内核调试文件 /sys/kernel/debug/tracing/trace_pipe ,你可以直接使用 cat 命令来查看这个文件的内容。
借助python+BCC开发应用程序
负责将ebpf程序挂载到对应的内核探针上,并通过map来和内核中的ebpf程序交互。
#!/usr/bin/env python3
# 1) import bcc library
from bcc import BPF
# 2) load BPF program
b = BPF(src_file="hello.c")
# 3) attach kprobe
b.attach_kprobe(event="do_sys_openat2", fn_name="hello_world")
# 4) read and print /sys/kernel/debug/tracing/trace_pipe
b.trace_print()在这个用户程序中,我们将ebpf程序加载到了内核,然后指定do_sys_openat2调用,触发ebpf函数中的hello_world函数的执行。
最后打印调试文件中的内容。
ebpf程序优化
自定义ebpf程序中的数据格式,然后保存到map当中,用户程序通过map进行交互。
// 包含头文件
#include <uapi/linux/openat2.h>
#include <linux/sched.h>
// 定义数据结构
struct data_t {
u32 pid;
u64 ts;
char comm[TASK_COMM_LEN];
char fname[NAME_MAX];
};
// 定义性能事件映射
BPF_PERF_OUTPUT(events);
// 定义kprobe处理函数
int hello_world(struct pt_regs *ctx, int dfd, const char __user * filename, struct open_how *how)
{
struct data_t data = { };
// 获取PID和时间
data.pid = bpf_get_current_pid_tgid();
data.ts = bpf_ktime_get_ns();
// 获取进程名
if (bpf_get_current_comm(&data.comm, sizeof(data.comm)) == 0)
{
bpf_probe_read(&data.fname, sizeof(data.fname), (void *)filename);
}
// 提交性能事件
events.perf_submit(ctx, &data, sizeof(data));
return 0;
}借助bpf提供的工具函数,创建了期望的数据结构,然后每次程序执行都提交性能事件。
用户程序也需要修改一下,打开事件map,这里的事件就是ebpf程序中提交的事件,用户程序创建之后,后续启动的一个循环,不断读取这个事件提交的数据,打印出来
from bcc import BPF
# 1) load BPF program
b = BPF(src_file="trace-open.c")
b.attach_kprobe(event="do_sys_openat2", fn_name="hello_world")
# 2) print header
print("%-18s %-16s %-6s %-16s" % ("TIME(s)", "COMM", "PID", "FILE"))
# 3) define the callback for perf event
start = 0
def print_event(cpu, data, size):
global start
event = b["events"].event(data)
if start == 0:
start = event.ts
time_s = (float(event.ts - start)) / 1000000000
print("%-18.9f %-16s %-6d %-16s" % (time_s, event.comm, event.pid, event.fname))
# 4) loop with callback to print_event
b["events"].open_perf_buffer(print_event)
while 1:
try:
b.perf_buffer_poll()
except KeyboardInterrupt:
exit(那么现在完成了一个ebpf程序的示例。并通过map来进行完成用户程序和内核ebpf的通信。