起初systemtap 是聚焦于内核空间的，因为用户层的诊断工具真的很多，后来还是在0.6版本时候可以探测用户进程了，既然可以用，那就用它吧。

       Systemtap用uprobes 模块来执行用户层的探测，在内核3.5以后，已经包含了，可以查看内核的config文件中CONFIG_UPROBES参数。

1.   用户层事件

用户事件可以通过PID来限定，也可以通过可执行路径来限定。

       有些事件限制了必须使用一个特定的PATH,因为需要debug信息来静态分析将探针放在哪里。

       例如：

process(“PATH”).function(“function”)，用户空间函数入口。类似内核函数的kernel.function(“function”)。

       process(“PATH”).statement(“statement”)，类似kernel.statement(“statement”).

       process(“PATH”).mark(“marker”),静态点marker定义在PATH .很多应用提供静态探针.例如java的hotspot　JVM.

probe hotspot.gc_begin =

process("/usr/lib/jvm/java-1.6.0-openjdk-1.6.0.0.x86_64/jre/lib/amd64/server/libjvm.so").mark("gc__begin")

       process.begin,用户进程开始创建

       process.thread.begin,用户线程创建

       process.end用户进程结束

       process.thread.end用户线程结束

       process.syscall用户进程使用系统调用。

2.   访问目标变量

对于每个函数，第一个参数是指向数据的

user_char(address) ,包含当前用户进程中地址的字节。此外还有如下，分别是短整型，整型，长整型，字符串。

user_short, user_int, user_long, user_string, user_string_n

3.   用户空间堆栈

探针指针probe point(pp)可以显示是那个事件触发了事件句柄。

但是共享库函数经常被程序不同模块激活，所以函数堆栈就可以看到事件是如何被触发的。

       用户层堆栈，通过调试信息段来实现的，不过对于可执行程序需要使用-d executable参数，共享库需要-ldd参数。

       例如：

#stap -d /bin/ls --ldd -e 'probe process("ls").function("xmalloc") {print_usyms(ubacktrace())}' -c "ls /"