ebpf 单行程序学习

ebpf 单行程序学习

---

背景

公司方神借给我一本：
《BPF之巅：洞悉linux系统和应用性能》纸质书
拿回家晚上在沙发上看了几天。
感觉书很厚看的不是很系统。
仅能凭自己的感觉总结一下这些天的读书感悟。
本来计划是2023年的春节 7 天长假系统的学习ebpf
但是因为学习Linux内核参数耽搁了。
工作后又各种忙和慌乱一直没有时间学习。
已经快跟上我立减肥flag倒的程度了。。。

---

一些基本理解

cbpf和ebpf的基本概念都不在阐述。
我理解ebpf之后其实核心的工具主要是bcc以及bpftrace
bcc是高手们自己利用python或者是go语言编写的工具集，用于实现特定的功能。
bpftrace 可以用于实现单行程序，更加符合unix do one thing do it well的哲学。

本次向简单理一下bpftrace的单行程序的理解。
便于后续的学习和使用。

bpftrace单行程序很类似于 awk 的语法。 通过attach 到不同的探针，跟踪点，来获取内核的核心信息

---

bpftrace的语法格式

注意：这些内容参照Brendan Greeg书中的附录部分。
bpftrace -e 'probe /filter/ {action;}'
通过这个命令就可以实现对特定探针的信息收集等工作。 

注意使用之前需要先安装 bpftrace 可以在线安装： yum install bpftrace -y 即可。
注意 -e 表明是跟踪这个探针
     -l 列出探针，不跟踪
     -c 执行命令

---

bpftrace的部分举例

1. 跟踪新进程。包括进程参数
bpftrace  -e 'tracepoint:syscalls:sys_enter_execve { join(args->argv);}'

2. 统计系统调用的数量
timeout 3 bpftrace -e 'tracepoint:raw_syscalls:sys_enter {@[pid,comm] = count();}'
注意这个命令可以统计最近三秒内的系统调用数量。如果不加时间可以使用 ctrl + c 的方式终止跟踪执行打印

3. bpftrace -e 'software:page-faults:1 {@[pid,comm] = count();}'
注意 如果不知道有哪一些probe 可以使用可以通过这个命令来获取
bpftrace -l 'software:*'
注意 原作者的附录里面page-fault 是错误的，需要改为复数形式。

4. 统计vfs调用
bpftrace -e 'kprobe:vfs_* {@[probe] = count();}'
注意这个是内核及的 kprobe kernel-probe

5. 统计io尺寸。可以验证数据库的块大小相关
bpftrace -e 't:block:block_rq_issue {@bytes = hist(args->bytes);}'
注意 t 是 tracepoint的缩写。 

6. 按照pid和进程名统计
bpftrace -e 't:syscalls:sys_enter_connect {@[pid,comm] = count();}'

7. 直方图统计udp发送的字节数
timeout 3 bpftrace -e 'k:udp_sendmsg {@send_pytes = hist(arg2);}'

困了 今天到这。。