BPF学习笔记5--静态跟踪点tracepoint

1190阅读 0评论2022-06-17 frankzfz
分类:LINUX

在《linux-observability-with-bpf》中第4章节中的案例中,有一个tracepoint bpf_prog_load的实例,在我自己的云主机上,执行不通过。发现网上也有一些人遇到。针对该问题分析了一下具体的原因。 根本原因是:内核版本的问题。
下面是《linux-observability-with-bpf》中的一个示例程序:

点击(此处)折叠或打开

  1. from bcc import BPF

  2. bpf_source = """
  3. int trace_bpf_prog_load(struct pt_regs *ctx) {
  4.   char comm[16];
  5.   bpf_get_current_comm(&comm, sizeof(comm));

  6.   bpf_trace_printk("%s is loading a BPF program", comm);
  7.   return 0;
  8. }
  9. """

  10. bpf = BPF(text = bpf_source)
  11. bpf.attach_tracepoint(tp = "bpf:bpf_prog_load", fn_name = "trace_bpf_prog_load")
  12. bpf.trace_print()
 上面的程序在bpf_prog_load的函数中添加一个添加一个tracepoint点。通过下面的命令可以参考本操作系统支持tracepoint的函数。
1)通过下面目录中,查看是否有相关的events
2)通过bcc的相关命令行工具

通过是上面的两个命令查看,都没有相关bpf的tracepoint点。所有执行上面的命令会出现下面的错误信息。open(/sys/kernel/debug/tracing/events/bpf/bpf_prog_load/id): No such file or directory
通过对内核中相关的文件进行分析, 在kernel/bpf/syscall.c文件中,我们可以看到其中提交的一个commit,去掉对bpf_prog_load的tracepoint,使用git show 4d220ed 显示下面的信息


通过上面的查看,是在内核4.18之后的内核删除了。commit的描述是在有可能导致内核的panic。
为了测试tracepoint的使用,可以使用下面的代码进行验证。

点击(此处)折叠或打开

  1. from bcc import BPF

  2. bpf_source = """
  3. int trace_net_dev_xmit(struct pt_regs *ctx) {
  4.   char comm[16];
  5.   bpf_get_current_comm(&comm, sizeof(comm));

  6.   bpf_trace_printk("%s is loading a BPF program", comm);
  7.   return 0;
  8. }
  9. """

  10. bpf = BPF(text = bpf_source)
  11. bpf.attach_tracepoint(tp = "net:net_dev_xmit", fn_name = "trace_net_dev_xmit")
  12. bpf.trace_print()
上一篇:BPF学习笔记4-使用bpf实现xdp的例子
下一篇:BPF示例6--使用sockmap示例:bypass内核协议栈