下面是《linux-observability-with-bpf》中的一个示例程序:
点击(此处)折叠或打开
-
from bcc import BPF
-
-
bpf_source = """
-
int trace_bpf_prog_load(struct pt_regs *ctx) {
-
char comm[16];
-
bpf_get_current_comm(&comm, sizeof(comm));
-
-
bpf_trace_printk("%s is loading a BPF program", comm);
-
return 0;
-
}
-
"""
-
-
bpf = BPF(text = bpf_source)
-
bpf.attach_tracepoint(tp = "bpf:bpf_prog_load", fn_name = "trace_bpf_prog_load")
- bpf.trace_print()
1)通过下面目录中,查看是否有相关的events
2)通过bcc的相关命令行工具
通过是上面的两个命令查看,都没有相关bpf的tracepoint点。所有执行上面的命令会出现下面的错误信息。open(/sys/kernel/debug/tracing/events/bpf/bpf_prog_load/id): No such file or directory
通过对内核中相关的文件进行分析, 在kernel/bpf/syscall.c文件中,我们可以看到其中提交的一个commit,去掉对bpf_prog_load的tracepoint,使用git show 4d220ed 显示下面的信息
通过上面的查看,是在内核4.18之后的内核删除了。commit的描述是在有可能导致内核的panic。为了测试tracepoint的使用,可以使用下面的代码进行验证。
点击(此处)折叠或打开
-
from bcc import BPF
-
-
bpf_source = """
-
int trace_net_dev_xmit(struct pt_regs *ctx) {
-
char comm[16];
-
bpf_get_current_comm(&comm, sizeof(comm));
-
-
bpf_trace_printk("%s is loading a BPF program", comm);
-
return 0;
-
}
-
"""
-
-
bpf = BPF(text = bpf_source)
-
bpf.attach_tracepoint(tp = "net:net_dev_xmit", fn_name = "trace_net_dev_xmit")
- bpf.trace_print()