0
  • 聊天消息
  • 系统消息
  • 评论与回复
登录后你可以
  • 下载海量资料
  • 学习在线课程
  • 观看技术视频
  • 写文章/发帖/加入社区
会员中心
创作中心

完善资料让更多小伙伴认识你,还能领取20积分哦,立即完善>

3天内不再提示

基于ebpf的性能工具-bpftrace

Rice嵌入式开发技术分享 来源:Rice 嵌入式开发技术分享 作者:Rice 嵌入式开发技 2023-09-04 16:02 次阅读

在前面我已经分享了关于ebpf入门的文章:

基于ubuntu22.04-深入浅出 eBPF

这篇文章介绍一个基于ebpf技术的强大工具--bpftrace。

在现代计算机系统中,了解系统的内部运行情况对于诊断问题、优化性能以及进行安全监控至关重要。bpftrace作为一款强大的跟踪工具,为开发人员和系统管理员提供了一种独特的方式来监视和分析Linux系统的内部运行。本文描述bpftrace的原理和使用。

bpftrace

「bpftrace是基于eBPF和BBC实现了通过探针机制采集内核和程序运行的信息,然后用图表等方式将信息展示出来,帮助开发者找到隐藏较深的Bug、安全问题和性能瓶颈。」「bpftrace是一种高级跟踪,适用于最新的Linux内核(4.x)中提供的Linux增强型Berkeley数据包过滤器(eBPF)。bpftrace使用LLVM作为将脚本编译为BPF码字节语言,并使用BCC与Linux BPF系统交互,以及现有的Linux跟踪功能:内核动态跟踪(kprobes)、用户级动态跟踪(uprobes)、和跟踪点。bpftrace语言的灵感来自awk和C,以及DTrace和SystemTap等前身跟踪」

「bpftrace通过高度抽象的封装来使用eBPF,大多数功能只需要寥寥几笔就可以运行起来,可以很快让我们搞清楚eBPF是什么样的,而暂时不关心eBPF复杂的内部机理。由于bpftrace深受AWK和c的影响,bpftrace使用起来于AWK非常相似,那些内核hook注入点几乎可以按普通字符串匹配来理解,非常容易上手。」

5a593e34-4af9-11ee-bb52-92fbcf53809c.png

bpftrace安装

在bpftrace的项目中,提供了一些常见系统的安装方法,官方文档:(https://github.com/iovisor/bpftrace/blob/master/INSTALL.md#ubuntu-packages)。支持的系统:Ubuntu,Fedora,Gentoo,Debian,openSUSE,CentOS,Arch,Alpine。

  • 作者使用ubuntu22.04系统,安装过程非常简单,步骤如下:
youyeetoo@youyeetoo:~$sudoapt-getinstall-ybpftrace
  • 安装完毕,可以确认一下安装情况,如果看到版本号说明安装成功:
youyeetoo@youyeetoo:~$bpftrace-V
bpftracev0.14.0

bpftrace使用

bpftrace是eBPF的高级封装,借助bpftrace可以一窥 eBPF 轮廓。

##列出ebpf支持的探针指令:
$bpftrace-l

##查看ebpf支持的探针个数:
$bpftrace-l|wc-l

##查看不同类型ebpf探针个数:
$bpftrace-l|awk-F":"'{print$1}'|sort|uniq-c

bpftrace执行脚本

bpftrace提供了两种不同的方式执行脚本:

  1. 单行指令执行:bpftrace -e 'cmds'
  • 单行指令模式是即用即弃,执行一些简短的指令非常方便,所有指令都包含在最后一个参数中,需要注意的是,虽然单行指令模式的指令可能很长,但对于 bpftrace 来说,它只接受了 2 个参数:-e 和 一个指令字符串(需要使用单引号包裹,确保所有指令都被识别为一个完整的字符串)。
  • 单行指令,官方也提供了一些样例,如下:
#Filesopenedbyprocess
$bpftrace-e'tracepointsys_enter_open{printf("%s%sn",comm,str(args->filename));}'

#Syscallcountbyprogram
$bpftrace-e'tracepointsys_enter{@[comm]=count();}'

#Readbytesbyprocess:
$bpftrace-e'tracepointsys_exit_read/args->ret/{@[comm]=sum(args->ret);}'

#Readsizedistributionbyprocess:
$bpftrace-e'tracepointsys_exit_read{@[comm]=hist(args->ret);}'

#Showper-secondsyscallrates:
$bpftrace-e'tracepointsys_enter{@=count();}interval1{print(@);clear(@);}'

#Tracedisksizebyprocess
$bpftrace-e'tracepointblock_rq_issue{printf("%d%s%dn",pid,comm,args->bytes);}'

#Countpagefaultsbyprocess
$bpftrace-e'software1{@[comm]=count();}'

#CountLLCcachemissesbyprocessnameandPID(usesPMCs):
$bpftrace-e'hardware1000000{@[comm,pid]=count();}'

#Profileuser-levelstacksat99Hertz,forPID189:
$bpftrace-e'profile99/pid==189/{@[ustack]=count();}'

#Filesopened,forprocessesintherootcgroup-v2
$bpftrace-e'tracepointsys_enter_openat/cgroup==cgroupid("/sys/fs/cgroup/unified/mycg")/{printf("%sn",str(args->filename));}'
  1. 脚本文件执行:bpftrace
  • 通过bpftrace就可以执行c style的代码,通过这类的代码,bpftrace可以实现相对复杂的逻辑。比如通过bpftrace获取当前所有shell的输入,代码如下:
BEGIN
{
printf("Tracingbashcommands...HitCtrl-Ctoend.n");
printf("%-9st%st%st%sn","TIME","UID","PID","COMMAND");
}

uretprobe:/bin/bash:readline
{
time("%H:%M:%St");
printf("%dt%dt%sn",uid,pid,str(retval));
}

END
{
printf("end-test");
}
5a8a5f78-4af9-11ee-bb52-92fbcf53809c.png
  • 官方提供了很多工具可直接调用,链接:https://github.com/iovisor/bpftrace/tree/master/tools
工具 说明
tools/bashreadline.bt 在系统范围内打印输入的bash命令
tools/biolatency.bt 以直方图形式显示块I/O延迟
tools/biosnoop.bt 块I/O跟踪工具,显示每个I/O延迟
tools/biostacks.bt 使用初始化堆栈显示磁盘 I/O 延迟
tools/bitesize.bt 以直方图形式显示磁盘 I/O 大小
tools/capable.bt 跟踪安全能力检查
tools/cpuwalk.bt 采样哪些 CPU 正在执行进程
tools/dcsnoop.bt 跟踪目录条目缓存 (dcache) 查找
tools/execsnoop.bt 通过 exec() 系统调用跟踪新进程
tools/gethostlatency.bt 显示 getaddrinfo/gethostbyname[2] 调用的延迟
tools/killsnoop.bt 由kill()系统调用发出的跟踪信号
tools/loads.bt 打印负载平均值
tools/mdflush.bt 跟踪 md 刷新事件
tools/naptime.bt 显示自愿睡眠呼叫
tools/opensnoop.bt 跟踪显示文件名的 open() 系统调用
tools/oomkill.bt 跟踪 OOM 杀手
tools/pidpersec.bt 计算新进程(通过 fork)
tools/runqlat.bt CPU 调度程序运行队列延迟作为直方图
tools/runqlen.bt CPU 调度程序运行队列长度作为直方图
tools/setuids.bt 跟踪 setuid 系统调用:权限提升
tools/ssllatency.bt 将 SSL/TLS 握手延迟总结为直方图
tools/sslsnoop.bt 跟踪 SSL/TLS 握手,显示延迟和返回值
tools/statsnoop.bt 跟踪 stat() 系统调用以进行一般调试
tools/swapin.bt 按进程显示交换
tools/syncsnoop.bt 跟踪sync()各种系统调用
tools/syscount.bt 统计系统调用
tools/tcpaccept.bt 跟踪 TCP 被动连接 (accept())
tools/tcpconnect.bt 跟踪 TCP 活动连接 (connect())
tools/tcpdrop.bt 跟踪基于内核的 TCP 数据包丢失的详细信息
tools/tcplife.bt 使用连接详细信息跟踪 TCP 会话生命周期
tools/tcpretrans.bt 跟踪 TCP 重传
tools/ tcpsynbl.bt 以直方图形式显示 TCP SYN 积压
tools/threadsnoop.bt 列出新线程创建
tools/undump.bt 捕获 UNIX 域套接字包
tools/vfscount.bt 统计 VFS 调用
tools/vfsstat.bt 对一些 VFS 调用进行计数,并提供每秒摘要
tools/writeback.bt 跟踪文件系统写回事件的详细信息
tools/xfsdist.bt 将 XFS 操作延迟分布总结为直方图


审核编辑 黄宇


声明:本文内容及配图由入驻作者撰写或者入驻合作网站授权转载。文章观点仅代表作者本人,不代表电子发烧友网立场。文章及其配图仅供工程师学习之用,如有内容侵权或者其他违规问题,请联系本站处理。 举报投诉
  • 嵌入式
    +关注

    关注

    5068

    文章

    19009

    浏览量

    303052
  • Linux
    +关注

    关注

    87

    文章

    11221

    浏览量

    208883
  • Ubuntu
    +关注

    关注

    5

    文章

    560

    浏览量

    29551
收藏 人收藏

    评论

    相关推荐

    解构内核源码eBPF样例编译过程

    了解和掌握纯c语言的ebpf编译和使用,有助于我们加深对于eBPF技术原理的进一步掌握,也有助于开发符合自己业务需求的高性能ebpf程序。
    的头像 发表于 04-17 14:05 1501次阅读

    Linux跟踪工具bpftrace的原理和使用

    这篇文章介绍一个基于ebpf技术的强大工具--bpftrace
    发表于 09-01 15:10 1843次阅读
    Linux跟踪<b class='flag-5'>工具</b><b class='flag-5'>bpftrace</b>的原理和使用

    基于ebpf性能工具-bpftrace脚本语法

    ,并且介绍了如何运行bpftrace脚本,这篇文章将介绍bpftrace脚本的语法。 基于ubuntu22.04-深入浅出 eBPF 基于ebpf
    的头像 发表于 09-04 16:04 951次阅读
    基于<b class='flag-5'>ebpf</b>的<b class='flag-5'>性能</b><b class='flag-5'>工具</b>-<b class='flag-5'>bpftrace</b>脚本语法

    openEuler 倡议建立 eBPF 软件发布标准

    eBPF 被广泛应用在云原生、可观测、性能调优、安全、硬件加速等领域,并且其应用场景还在快速扩展,各种场景基于 eBPF 技术的创新 idea 呈现井喷现象,eBPF 的时代已经来临
    发表于 12-23 16:21

    强劲的Linux Trace工具 bpftrace for Linux 2018

    本文主要是Brendan Gregg在介绍 bpftrace在2018年的开发进展,以及对bpftrace的介绍和对Dtrace的区别介绍。
    的头像 发表于 06-04 15:44 1.2w次阅读
    强劲的Linux Trace<b class='flag-5'>工具</b> <b class='flag-5'>bpftrace</b> for Linux 2018

    eBPF是什么以及eBPF能干什么

    规则使用基于寄存器的虚拟机来描述包过滤的行为。比较常用的功能是通过过滤来统计流量,tcpdump工具就是基于BPF实现的。而eBPF对它进行了扩展来实现更多的功能。 主要区别如下: 1)允许使用C 语言编写
    的头像 发表于 07-05 15:17 1.2w次阅读
    <b class='flag-5'>eBPF</b>是什么以及<b class='flag-5'>eBPF</b>能干什么

    eBPF深入理解和实现原理

    简单来说,wBPF 是一个在硬件上直接执行 eBPF 程序的系统。
    的头像 发表于 06-14 09:25 3525次阅读

    介绍eBPF针对可观测场景的应用

    随着eBPF推出,由于具有高性能、高扩展、安全性等优势,目前已经在网络、安全、可观察等领域广泛应用,同时也诞生了许多优秀的开源项目,如Cilium、Pixie等,而iLogtail 作为阿里内外千万实例可观测数据的采集器,eBPF
    的头像 发表于 08-11 09:10 1533次阅读

    openEuler倡议建立eBPF软件发布标准

    eBPF 是一个能够在内核运行沙箱程序的技术,提供了一种在内核事件和用户程序事件发生时安全注入代码的机制,使得非内核开发人员也可以对内核进行控制。随着内核的发展,eBPF 逐步从最初的数据包过滤
    的头像 发表于 12-06 10:29 539次阅读

    Linux 内核:eBPF优势和eBPF潜力总结

    Express Data Path (XDP):网络驱动程序是最早可以附加 XDP BPF 钩子的点。当收到一个数据包时,eBPF 程序就会被触发运行。
    发表于 01-10 11:37 3040次阅读

    什么是eBPFeBPF为何备受追捧?

    用云杉网络 VP 向阳的话来说:“ eBPF 最重要(没有之一)的特点是安全性” 。他表示,以往必须编写内核模块才能做到的工作现在基本都能做到。
    的头像 发表于 05-06 11:41 2209次阅读

    eBPF的前世今生?eBPF在使用中遇到的问题有哪些?

    在介绍eBPF (Extended Berkeley Packet Filter)之前,我们先来了解一下它的前身-BPF (Berkeley Packet Filter)伯克利数据包过滤器。
    的头像 发表于 08-12 15:10 1563次阅读
    <b class='flag-5'>eBPF</b>的前世今生?<b class='flag-5'>eBPF</b>在使用中遇到的问题有哪些?

    ebpf的快速开发工具--libbpf-bootstrap

    基于ubuntu22.04-深入浅出 eBPF 基于ebpf性能工具-bpftrace 基于ebpf
    的头像 发表于 09-25 09:04 944次阅读
    <b class='flag-5'>ebpf</b>的快速开发<b class='flag-5'>工具</b>--libbpf-bootstrap

    基于ebpf性能工具应用

    曾利用Valgrind工具成功地发现并解决了一个隐藏在软件中的bug,这充分体现了工具在开发过程中的重要性。 然而,同样强大的bpftrace工具同样具备简洁而直观的特点,能够协助我们
    的头像 发表于 11-08 16:19 387次阅读
    基于<b class='flag-5'>ebpf</b>的<b class='flag-5'>性能</b><b class='flag-5'>工具</b>应用

    eBPF动手实践系列三:基于原生libbpf库的eBPF编程改进方案简析

    在上一篇文章《eBPF动手实践系列二:构建基于纯C语言的eBPF项目》中,我们初步实现了脱离内核源码进行纯C语言eBPF项目的构建。libbpf库在早期和内核源码结合的比较紧密,如今的libbpf库更加成熟,已经完全脱离内核源码
    的头像 发表于 03-19 14:19 756次阅读
    <b class='flag-5'>eBPF</b>动手实践系列三:基于原生libbpf库的<b class='flag-5'>eBPF</b>编程改进方案简析