Linux下你不能不知道的bpftrace介绍

本文涉及的产品
可观测可视化 Grafana 版,10个用户账号 1个月
可观测监控 Prometheus 版,每月50GB免费额度
简介: 这表明__GI___libc_malloc函数花费了总计120.927毫秒的时间,并排名第一。其他函数按照它们的执行时间排序并显示前十项。

bpftrace是一种基于eBPF(Extended BPF)技术的高级动态跟踪工具,它可以在Linux内核中实现轻量级、低性能开销的系统和应用程序监控和分析。bpftrace使用简单易懂的声明式语言进行脚本编写,可以快速创建和运行非常复杂的跟踪脚本,以便捕获并分析各种有关进程、文件系统、网络、内存、CPU等方面的事件和统计信息。


简要概括:Bpftrace 是一个动态的、可编程的跟踪工具,可以用来监控 Linux 系统的各种活动。


bpftrace可以解决许多传统动态跟踪工具的局限性,比如DTrace。它不需要修改内核或重新编译二进制文件。同时,bpftrace提供了灵活的API和库,可以与其他工具和框架集成,例如Prometheus、Grafana、bcc等。bpftrace还拥有丰富的文档和社区支持,并得到了广泛的应用和推广。


如何使用

bpftrace是一种高级动态跟踪工具,可以通过捕获和分析系统和应用程序的事件,提供有关性能、行为和问题的深入洞察。bpftrace基于eBPF技术实现轻量级、低性能开销的监控和分析,使用简单易懂的声明式语言进行脚本编写,可以快速创建和运行复杂的跟踪脚本。bpftrace不需要修改内核或重新编译二进制文件,提供了灵活的API和库,可以与其他工具和框架集成,例如Prometheus、Grafana、bcc等。


要使用bpftrace进行动态跟踪和分析,可以按照以下步骤进行:


安装bpftrace:根据系统版本和发行版,使用适当的方法安装bpftrace。例如,在Ubuntu或Debian上,可以运行sudo apt install bpftrace命令安装。


编写bpftrace脚本:bpftrace使用声明式语言进行脚本编写,可以通过捕获和过滤事件来收集关于应用程序、系统调用、网络流量等方面的信息。脚本中可以包含多个规则,每个规则指定一个事件类型和其处理程序。例如,一个简单的脚本可以捕获所有进程的创建事件,并输出它们的PID和名字:


tracepoint:process:process_create
{
printf(“New process created: %d %s\n”, args->pid, args->comm);
}


运行bpftrace脚本:在终端中输入类似于bpftrace -e 'tracepoint:process:process_create{ printf(“New process created: %d %s\n”, args->pid, args->comm); }'的命令即可运行一个简单的脚本。除此之外,还可以通过文件或管道输入方式运行脚本。


观察输出结果:当脚本开始运行时,它将开始捕获与规则匹配的事件,并在终端中显示输出结果。输出结果可以帮助用户理解应用程序或系统的行为,识别性能瓶颈以及调试问题。


除了上述的基本步骤外,bpftrace还提供了许多高级功能和选项,例如使用内置函数、变量和标准库进行统计分析、聚合和过滤等。用户可以参考bpftrace官方文档和示例,深入了解其功能和用法,并结合实际场景设计和运行更复杂的跟踪脚本。


bpftrace具有许多高级功能,使其成为一种强大的系统和应用程序动态跟踪工具。以下是其中一些功能:


内置函数:bpftrace提供了许多内置函数,用于执行各种操作,例如计算、字符串处理、时间戳生成等。这些函数可用于编写更复杂的跟踪脚本。


变量:bpftrace支持定义变量,可以在脚本中使用来存储临时或持久的数据。变量还可以用于实现聚合和统计分析。


聚合:bpftrace具有灵活的聚合功能,可以对事件和指标进行统计分析,例如计数、平均值、最小/最大值等。聚合可用于监测性能和确定瓶颈。


过滤:bpftrace支持过滤规则,以便只捕获特定类型的事件。过滤规则可以帮助用户关注感兴趣的内容,减少不必要的输出。


输出格式:bpftrace支持多种输出格式,例如文本、JSON、CSV等,可根据需要进行选择。输出格式可以方便地与其他工具进行集成和分析。


动态追踪:bpftrace支持动态追踪,可以在应用程序或系统运行时动态添加和删除跟踪规则。这使得用户可以快速响应变化的需求,并进行实时监测和分析。


其他特性:bpftrace还支持在用户空间和内核空间之间传递数据、访问网络协议栈、使用probe探针等。这些功能扩展了bpftrace的应用场景,使其更具灵活性和可定制性。


下面是一些 Bpftrace 的使用示例代码:


统计系统调用的次数:

$ sudo bpftrace -e 'tracepoint:syscalls:sys_enter_* { @[probe] = count(); }'


这个命令将会追踪所有系统调用,并且在每次调用时记录计数器。


监控进程的 CPU 使用率:

$ sudo bpftrace -e 'profile:hz:99 { @[pid,execname] = count(); }'
1

这个命令将会每秒钟捕获 99 次时钟中断事件,并记录每个进程的执行名称和 PID。


监控网络流量:

$ sudo bpftrace -e 'kprobe:tcp_sendmsg { printf("%d\n", arg5); }'


这个命令将会在 tcp_sendmsg 函数被调用时打印发送数据包的大小。


监控文件访问:

$ sudo bpftrace -e 'tracepoint:syscalls:sys_enter_open { printf("%s %s\n", comm, str(args->filename)); }'


这个命令将会在每次文件被打开时打印进程名称和文件名。


以上仅是 Bpftrace 的一些简单用法,实际上它还有很多强大的功能,可以帮助监控甚至调试系统的各个方面。


以下是一 示例bpftrace脚本,它捕获每个进程的系统调用并输出其名称和持续时间:


#!/usr/bin/env bpftrace
BEGIN {
    printf("Tracing syscalls... Hit Ctrl-C to end.\n");
}
syscall:entry {
    start[@syscall] = nsecs;
}
syscall:return/ start[@syscall] / {
    printf("%s took %d ns\n", probe, nsecs - start[@syscall]);
}


该脚本首先在BEGIN块中打印一条消息,然后使用两个规则捕获系统调用的进入和返回事件。在进入事件中,它记录当前时间戳,并将其存储在名为start的关联数组中,该数组的键是正在进行的系统调用的名称。在返回事件中,它检查关联数组是否存在与当前事件匹配的键,并计算事件的持续时间(以纳秒为单位)。最后,它使用printf函数输出调用名称和持续时间。


要运行这个脚本,请按照以下步骤进行:


将脚本保存到一个文本文件中(例如,myscript.bt)。


在终端中运行命令:sudo bpftrace myscript.bt。


当前窗口将开始显示捕获的事件和相应的输出结果。


请注意,您需要具有管理员权限才能运行bpftrace脚本。如果你遇到问题,可以参考bpftrace官方文档和示例,并查看输出结果和错误消息以进行调试。


示例脚本其二


bpftrace是一种基于eBPF(Extended BPF)技术的高级动态跟踪工具,它可以在Linux内核中实现轻量级、低性能开销的系统和应用程序监控和分析。bpftrace使用简单易懂的声明式语言进行脚本编写,可以快速创建和运行非常复杂的跟踪脚本,以便捕获并分析各种有关进程、文件系统、网络、内存、CPU等方面的事件和统计信息。


简要概括:Bpftrace 是一个动态的、可编程的跟踪工具,可以用来监控 Linux 系统的各种活动。


bpftrace可以解决许多传统动态跟踪工具的局限性,比如DTrace。它不需要修改内核或重新编译二进制文件。同时,bpftrace提供了灵活的API和库,可以与其他工具和框架集成,例如Prometheus、Grafana、bcc等。bpftrace还拥有丰富的文档和社区支持,并得到了广泛的应用和推广。


如何使用

bpftrace是一种高级动态跟踪工具,可以通过捕获和分析系统和应用程序的事件,提供有关性能、行为和问题的深入洞察。bpftrace基于eBPF技术实现轻量级、低性能开销的监控和分析,使用简单易懂的声明式语言进行脚本编写,可以快速创建和运行复杂的跟踪脚本。bpftrace不需要修改内核或重新编译二进制文件,提供了灵活的API和库,可以与其他工具和框架集成,例如Prometheus、Grafana、bcc等。


要使用bpftrace进行动态跟踪和分析,可以按照以下步骤进行:


安装bpftrace:根据系统版本和发行版,使用适当的方法安装bpftrace。例如,在Ubuntu或Debian上,可以运行sudo apt install bpftrace命令安装。


编写bpftrace脚本:bpftrace使用声明式语言进行脚本编写,可以通过捕获和过滤事件来收集关于应用程序、系统调用、网络流量等方面的信息。脚本中可以包含多个规则,每个规则指定一个事件类型和其处理程序。例如,一个简单的脚本可以捕获所有进程的创建事件,并输出它们的PID和名字:


tracepoint:process:process_create
{
printf(“New process created: %d %s\n”, args->pid, args->comm);
}


运行bpftrace脚本:在终端中输入类似于bpftrace -e 'tracepoint:process:process_create{ printf(“New process created: %d %s\n”, args->pid, args->comm); }'的命令即可运行一个简单的脚本。除此之外,还可以通过文件或管道输入方式运行脚本。


观察输出结果:当脚本开始运行时,它将开始捕获与规则匹配的事件,并在终端中显示输出结果。输出结果可以帮助用户理解应用程序或系统的行为,识别性能瓶颈以及调试问题。


除了上述的基本步骤外,bpftrace还提供了许多高级功能和选项,例如使用内置函数、变量和标准库进行统计分析、聚合和过滤等。用户可以参考bpftrace官方文档和示例,深入了解其功能和用法,并结合实际场景设计和运行更复杂的跟踪脚本。


bpftrace具有许多高级功能,使其成为一种强大的系统和应用程序动态跟踪工具。以下是其中一些功能:


内置函数:bpftrace提供了许多内置函数,用于执行各种操作,例如计算、字符串处理、时间戳生成等。这些函数可用于编写更复杂的跟踪脚本。


变量:bpftrace支持定义变量,可以在脚本中使用来存储临时或持久的数据。变量还可以用于实现聚合和统计分析。


聚合:bpftrace具有灵活的聚合功能,可以对事件和指标进行统计分析,例如计数、平均值、最小/最大值等。聚合可用于监测性能和确定瓶颈。


过滤:bpftrace支持过滤规则,以便只捕获特定类型的事件。过滤规则可以帮助用户关注感兴趣的内容,减少不必要的输出。


输出格式:bpftrace支持多种输出格式,例如文本、JSON、CSV等,可根据需要进行选择。输出格式可以方便地与其他工具进行集成和分析。


动态追踪:bpftrace支持动态追踪,可以在应用程序或系统运行时动态添加和删除跟踪规则。这使得用户可以快速响应变化的需求,并进行实时监测和分析。


其他特性:bpftrace还支持在用户空间和内核空间之间传递数据、访问网络协议栈、使用probe探针等。这些功能扩展了bpftrace的应用场景,使其更具灵活性和可定制性。


下面是一些 Bpftrace 的使用示例代码:


统计系统调用的次数:

$ sudo bpftrace -e 'tracepoint:syscalls:sys_enter_* { @[probe] = count(); }'


这个命令将会追踪所有系统调用,并且在每次调用时记录计数器。


监控进程的 CPU 使用率:

$ sudo bpftrace -e 'profile:hz:99 { @[pid,execname] = count(); }'
1

这个命令将会每秒钟捕获 99 次时钟中断事件,并记录每个进程的执行名称和 PID。


监控网络流量:

$ sudo bpftrace -e 'kprobe:tcp_sendmsg { printf("%d\n", arg5); }'


这个命令将会在 tcp_sendmsg 函数被调用时打印发送数据包的大小。


监控文件访问:

$ sudo bpftrace -e 'tracepoint:syscalls:sys_enter_open { printf("%s %s\n", comm, str(args->filename)); }'


这个命令将会在每次文件被打开时打印进程名称和文件名。


以上仅是 Bpftrace 的一些简单用法,实际上它还有很多强大的功能,可以帮助监控甚至调试系统的各个方面。


以下是一 示例bpftrace脚本,它捕获每个进程的系统调用并输出其名称和持续时间:


#!/usr/bin/env bpftrace
BEGIN {
    printf("Tracing syscalls... Hit Ctrl-C to end.\n");
}
syscall:entry {
    start[@syscall] = nsecs;
}
syscall:return/ start[@syscall] / {
    printf("%s took %d ns\n", probe, nsecs - start[@syscall]);
}


该脚本首先在BEGIN块中打印一条消息,然后使用两个规则捕获系统调用的进入和返回事件。在进入事件中,它记录当前时间戳,并将其存储在名为start的关联数组中,该数组的键是正在进行的系统调用的名称。在返回事件中,它检查关联数组是否存在与当前事件匹配的键,并计算事件的持续时间(以纳秒为单位)。最后,它使用printf函数输出调用名称和持续时间。


要运行这个脚本,请按照以下步骤进行:


将脚本保存到一个文本文件中(例如,myscript.bt)。


在终端中运行命令:sudo bpftrace myscript.bt。


当前窗口将开始显示捕获的事件和相应的输出结果。


请注意,您需要具有管理员权限才能运行bpftrace脚本。如果你遇到问题,可以参考bpftrace官方文档和示例,并查看输出结果和错误消息以进行调试。


示例脚本其二


以下是一个bpftrace脚本的示例,它将跟踪所有进程中每个函数的执行时间,并显示最长时间前十名的函数:


#!/usr/bin/env bpftrace
/* Trace every function and measure its time spent. */
profile:hz:99
{
  @start[tid,func] = nsecs;
}
profile:hz:99 /@start[tid,probe] != 0/
{
  @times[probefunc] = sum(nsecs - @start[tid,probefunc]);
  @start[tid,probefunc] = 0;
}
/* Print the top functions by total execution time. */
END
{
  printf("Top 10 functions by total execution time:\n");
  print(@times);
}



这个脚本首先在99赫兹下以profiling模式运行。当每个函数开始执行时,它会记录它的tid和函数名称,以及当前的纳秒数作为键值对存储在@start数组中。


然后,在相同的99赫兹下,每当一个函数完成时,该脚本会计算从开始到结束所花费的时间,并将其添加到@times数组中对应函数的值中。同时,@start数组中与此函数调用相对应的键值对将被删除。


最后,当脚本结束时,它会打印出前十个总执行时间最长的函数。


要执行此脚本,请保存脚本内容到文件 function_time.bt 中,然后运行以下命令:


sudo bpftrace function_time.bt


这将输出类似以下内容的结果:


Attaching 1 probe...
Top 10 functions by total execution time:
            __GI___libc_malloc: 120.927 ms
                          mmap: 43.838 ms
                __xstat64_chk: 38.737 ms
                   pthread_create: 31.730 ms
             __GI___pthread_mutex_lock: 25.752 ms
             __GI___pthread_mutex_unlock: 23.045 ms
                      open64: 19.994 ms
                       ioctl: 14.066 ms
                       read: 12.832 ms
                 __cxa_atexit: 12.789 ms


这表明__GI___libc_malloc函数花费了总计120.927毫秒的时间,并排名第一。其他函数按照它们的执行时间排序并显示前十项。


服务器高级架构体系:https://xxetb.xet.tech/s/4DEnTI


#!/usr/bin/env bpftrace
/* Trace every function and measure its time spent. */
profile:hz:99
{
  @start[tid,func] = nsecs;
}
profile:hz:99 /@start[tid,probe] != 0/
{
  @times[probefunc] = sum(nsecs - @start[tid,probefunc]);
  @start[tid,probefunc] = 0;
}
/* Print the top functions by total execution time. */
END
{
  printf("Top 10 functions by total execution time:\n");
  print(@times);
}



这个脚本首先在99赫兹下以profiling模式运行。当每个函数开始执行时,它会记录它的tid和函数名称,以及当前的纳秒数作为键值对存储在@start数组中。


然后,在相同的99赫兹下,每当一个函数完成时,该脚本会计算从开始到结束所花费的时间,并将其添加到@times数组中对应函数的值中。同时,@start数组中与此函数调用相对应的键值对将被删除。


最后,当脚本结束时,它会打印出前十个总执行时间最长的函数。


要执行此脚本,请保存脚本内容到文件 function_time.bt 中,然后运行以下命令:


sudo bpftrace function_time.bt


这将输出类似以下内容的结果:


Attaching 1 probe...
Top 10 functions by total execution time:
            __GI___libc_malloc: 120.927 ms
                          mmap: 43.838 ms
                __xstat64_chk: 38.737 ms
                   pthread_create: 31.730 ms
             __GI___pthread_mutex_lock: 25.752 ms
             __GI___pthread_mutex_unlock: 23.045 ms
                      open64: 19.994 ms
                       ioctl: 14.066 ms
                       read: 12.832 ms
                 __cxa_atexit: 12.789 ms


这表明__GI___libc_malloc函数花费了总计120.927毫秒的时间,并排名第一。其他函数按照它们的执行时间排序并显示前十项。


服务器高级架构体系:https://xxetb.xet.tech/s/4DEnTI

目录
相关文章
|
存储 Prometheus 监控
Linux技术工具:bpftrace介绍
Linux技术工具:bpftrace介绍
495 7
|
29天前
|
Unix Linux 程序员
Linux文本搜索工具grep命令使用指南
以上就是对Linux环境下强大工具 `grep` 的基础到进阶功能介绍。它不仅能够执行简单文字查询任务还能够处理复杂文字处理任务,并且支持强大而灵活地正则表达规范来增加查询精度与效率。无论您是程序员、数据分析师还是系统管理员,在日常工作中熟练运用该命令都将极大提升您处理和分析数据效率。
105 16
|
21天前
|
Linux
linux命令—stat
`stat` 是 Linux 系统中用于查看文件或文件系统详细状态信息的命令。相比 `ls -l`,它提供更全面的信息,包括文件大小、权限、所有者、时间戳(最后访问、修改、状态变更时间)、inode 号、设备信息等。其常用选项包括 `-f` 查看文件系统状态、`-t` 以简洁格式输出、`-L` 跟踪符号链接,以及 `-c` 或 `--format` 自定义输出格式。通过这些选项,用户可以灵活获取所需信息,适用于系统调试、权限检查、磁盘管理等场景。
|
3月前
|
监控 Linux 网络安全
Linux命令大全:从入门到精通
日常使用的linux命令整理
672 13
|
4月前
|
Linux 网络安全 数据安全/隐私保护
使用Linux系统的mount命令挂载远程服务器的文件夹。
如此一来,你就完成了一次从你的Linux发车站到远程服务器文件夹的有趣旅行。在这个技术之旅中,你既探索了新地方,也学到了如何桥接不同系统之间的距离。
567 21
|
4月前
|
JSON 自然语言处理 Linux
linux命令—tree
tree是一款强大的Linux命令行工具,用于以树状结构递归展示目录和文件,直观呈现层级关系。支持多种功能,如过滤、排序、权限显示及格式化输出等。安装方法因系统而异常用场景包括:基础用法(显示当前或指定目录结构)、核心参数应用(如层级控制-L、隐藏文件显示-a、完整路径输出-f)以及进阶操作(如磁盘空间分析--du、结合grep过滤内容、生成JSON格式列表-J等)。此外,还可生成网站目录结构图并导出为HTML文件。注意事项:使用Tab键补全路径避免错误;超大目录建议限制遍历层数;脚本中推荐禁用统计信息以优化性能。更多详情可查阅手册mantree。
linux命令—tree
|
2月前
|
Linux 网络安全 开发工具
技术栈:这50条最常用的 Linux 命令你一定要会!
建议多在终端中实践,遇到不懂的命令就用 man 或 --help 了解详情!
407 0
|
4月前
|
监控 Linux
Linux系统中使用df命令详解磁盘使用情况。
`df`命令是Linux系统管理员和用户监控和管理磁盘空间使用的重要工具。掌握它的基本使用方法和选项可以帮助在必要时分析和解决空间相关问题。简洁但功能丰富,`df`命令确保了用户可以快速有效地识别和管理文件系统的空间使用情况。
275 13
|
2月前
|
安全 Linux Shell
Linux系统中sudo命令的高效运用技巧。
用户可以通过sudo -l来列出自己目前可执行的命令列表,这有助于用户了解自己的权限范围。
123 0
|
2月前
|
监控 Linux Shell
linux命令
常用 Linux 命令汇总