bpftrace教程【官方】
该教程通过12个简单小节帮助你了解bpftrace的使用。每一小节都是一行的命令,你可以立马运行并看到运行效果。该教程系列用来介绍bpftrace的概念。关于bpftrace的完整参考,见bpftrace完整参考。
该教程贡献者是Brendan Gregg, Netflix (2018), 基于他的DTrace教程系列 DTrace Tutorial。
1. 列出所有探针
bpftrace -l 'tracepoint:syscalls:sys_enter_*'
"bpftrace -l" 列出所有探测点,并且可以添加搜索项。
- 探针是用于捕获事件数据的检测点。
- 提供的搜索词支持通配符如*/?
- "bpftrace -l" 也可以通过管道传递给grep,进行完整的正则表达式搜索。
2. Hello World
# bpftrace -e 'BEGIN { printf("hello world\n"); }'
Attaching 1 probe...
hello world
^C
打印欢迎消息。 运行后, 按Ctrl-C结束。
BEGIN是一个特殊的探针,在程序开始的执行触发探针执行,你可以使用它设置变量和打印消息头。- 探针可以关联动作,把动作放到{}中。
3. 文件打开
# bpftrace -e 'tracepoint:syscalls:sys_enter_openat { printf("%s %s\n", comm, str(args->filename)); }'
Attaching 1 probe...
snmp-pass /proc/cpuinfo
snmp-pass /proc/stat
snmpd /proc/net/dev
snmpd /proc/net/if_inet6
^C
这里我们跟踪文件打开的时候打印进程名和文件名。
- 该命令开始是
tracepoint:syscalls:sys_enter_openat: 这个是tracepoint探针类型(内核静态跟踪),当进入openat()系统调用时执行该探针。相比kprobes探针(内核动态跟踪,在第6节介绍),我们更加喜欢用tracepoints探针,因为tracepoints有稳定的应用程序编程接口。注意:现代linux系统(glibc >= 2.26),open总是调用openat系统调用。 comm是内建变量,代表当前进程的名字。其它类似的变量还有pid和tid,分别表示进程标识和线程标识。args是一个指针,指向该tracepoint的参数。这个结构时由bpftrace根据tracepoint信息自动生成的。这个结构的成员可以通过命令bpftrace -vl tracepoint:syscalls:sys_enter_openat找到。args->filename用来获取args的成员变量filename的值。str()用来把字符串指针转换成字符串。
4. 进程的系统调用记数统计
bpftrace -e 'tracepoint:raw_syscalls:sys_enter { @[comm] = count(); }'
Attaching 1 probe...
^C
@[bpftrace]: 6
@[systemd]: 24
@[snmp-pass]: 96
@[sshd]: 125
按Ctrl-C后打印进程的系统调用计数。
- @: 表示一种特殊的变量类型,称为map,可以以不同的方式来存储和描述数据。你可以在@后添加可选的变量名,增加可读性或由多个map时用来区分不同的map。
- []: 可选的中括号允许设置map的关键字,比较像关联数组
- count(): 这个时一个map函数 - 记录被调用次数。因为调用次数保存在comm的map里,所以结果是进程执行系统调用的计数统计。
在bpftrace结束(如按Ctrl-C)时Maps自动打印出来
5. read()分布统计
# bpftrace -e 'tracepoint:syscalls:sys_exit_read /pid == 18644/ { @bytes = hist(args->ret); }'
Attaching 1 probe...
^C
@bytes:
[0, 1] 12 |@@@@@@@@@@@@@@@@@@@@ |
[2, 4) 18 |@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@ |
[4, 8) 0 | |
[8, 16) 0 | |
[16, 32) 0 | |
[32, 64) 30 |@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@|
[64, 128) 19 |@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@ |
[128, 256) 1 |@
这里跟踪进程号为18644的进程执行内核函数sys_read()的统计,打印出直方图。
- /.../: 这里设置一个过滤条件(条件判断),满足该过滤条件时才执行{}里面的动作。在这个例子中意思时只追踪进程号为18644的进程。过滤条件表达式也支持布尔运算如("&&", "||")。
- ret: 表示函数的返回值。对于sys_read(),-1表示错误,其它则表示成功读取的字节数。
- @: 类似于上节的map,但是这里没有[],使用"bytes"修饰输出。
- hist(): 一个map函数,用来描述直方图的参数。输出行以2次方的间隔开始,如
[128, 256)表示值大于等于128且小于256。后面跟着位于该区间的个数统计,最后是ascii码表示的直方图。该图可以用来研究它的模式分布。 - 其它的map函数还有lhist(线性直方图),count(),sum(),avg(),min()和max()。
6. 内核动态跟踪read()的字节数
# bpftrace -e 'kretprobe:vfs_read { @bytes = lhist(retval, 0, 2000, 200); }'
Attaching 1 probe...
^C
@bytes:
(...,0] 0 | |
[0, 200) 66 |@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@|
[200, 400) 2 |@ |
[400, 600) 3 |@@ |
[600, 800) 0 | |
[800, 1000) 5 |@@@ |
[1000, 1200) 0 | |
[1200, 1400) 0 | |
[1400, 1600) 0 | |
[1600, 1800) 0 | |
[1800, 2000) 0 | |
[2000,...) 39 |@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@ |
使用内核动态跟踪技术显示read()返回字节数的直方图。
kretprobe:vfs_read: 这里是kretprobe类型(动态跟踪内核函数返回值)的跟踪vfs_read系统调用探针。此外还有kprobe类型的探针用于跟踪内核函数调用。它们是功能强大的探针类型,让我们可以跟踪成千上万的内核函数。然而它们是"不稳定"的探针类型:因为它们可以跟踪任意内核函数,不保证kprobe和kretprobe能够正常工作。由于内核版本的不同,内核函数名,参数,返回值等可能会变化。由于它们用来跟踪底层内核的,你需要浏览内核源代码,理解这些探针的参数、返回值的意义。- lhist(): 线性直方图函数:参数是值,最小,最大,步进值。第一个参数(
retval)表示系统调用sys_read()返回值:即成功读取的字节数。
7. read()调用的时间
# bpftrace -e 'kprobe:vfs_read { @start[tid] = nsecs; } kretprobe:vfs_read /@start[tid]/ { @ns[comm] = hist(nsecs - @start[tid]); delete(@start[tid]); }'
Attaching 2 probes...
[...]
@ns[snmp-pass]:
[0, 1] 0 | |
[2, 4) 0 | |
[4, 8) 0 | |
[8, 16) 0 | |
[16, 32) 0 | |
[32, 64) 0 | |
[64, 128) 0 | |
[128, 256) 0 | |
[256, 512) 27 |@@@@@@@@@ |
[512, 1k) 125 |@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@ |
[1k, 2k) 22 |@@@@@@@ |
[2k, 4k) 1 | |
[4k, 8k) 10 |@@@ |
[8k, 16k) 1 | |
[16k, 32k) 3 |@ |
[32k, 64k) 144 |@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@|
[64k, 128k) 7 |@@ |
[128k, 256k) 28 |@@@@@@@@@@ |
[256k, 512k) 2 | |
[512k, 1M) 3 |@ |
[1M, 2M) 1 | |
根据进程名,以直方图的形式显示read()调用花费的时间,时间单位为纳秒。
- @start[tid]: This uses the thread ID as a key. There may be many reads in-flight, and we want to store a start timestamp to each. How? We could construct a unique identifier for each read, and use that as the key. But because kernel threads can only be executing one syscall at a time, we can use the thread ID as the unique identifier, as each thread cannot be executing more than one.
- nsecs: 自系统启动到现在的纳秒数。这个是一个高精度时间戳追踪可以用追踪时间事件。
- /@start[tid]/: 该过滤条件检查起始时间。如果没有这个过滤条件,则只能探测每次read()调用的结束时间,而不是now-start。
- delete(@start[tid]): 释放变量。.
8. 统计进程级别的事件
# bpftrace -e 'tracepoint:sched:sched* { @[probe] = count(); } interval:s:5 { exit(); }'
Attaching 25 probes...
@[tracepoint:sched:sched_wakeup_new]: 1
@[tracepoint:sched:sched_process_fork]: 1
@[tracepoint:sched:sched_process_exec]: 1
@[tracepoint:sched:sched_process_exit]: 1
@[tracepoint:sched:sched_process_free]: 2
@[tracepoint:sched:sched_process_wait]: 7
@[tracepoint:sched:sched_wake_idle_without_ipi]: 53
@[tracepoint:sched:sched_stat_runtime]: 212
@[tracepoint:sched:sched_wakeup]: 253
@[tracepoint:sched:sched_waking]: 253
@[tracepoint:sched:sched_switch]: 510
回到顶部