《Linux内核观测技术BPF》学习笔记 (一)

已于 2024-12-31 23:10:10 修改
阅读量197 收藏
点赞数 1
CC 4.0 BY-SA版权
文章标签: 学习
于 2024-12-27 22:28:01 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/mobai7/article/details/144778636

个人环境

ubantu 22.04
内核版本:5.15.0-127-generic

第二章

环境上编译linux-observability-with-bpf配套代码hello_word时报错:
在这里插入图片描述
对应下载的内核源码samples/bpf下没有bpf_load.c。这是什么原因?
加载BPF程序的用户态代码里也#include “bpf_load.h”。samples/bpf下也没有bpf_load.h。下载的配套示例代码没有任何修改,内核代码也是正常下载,不知道原因出在哪里?

#include "bpf_load.h"
#include <stdio.h>

int main(int argc, char **argv) {
  if (load_bpf_file("bpf_program.o") != 0) {
    printf("The kernel didn't load the BPF program\n");
    return -1;
  }

  read_trace_pipe();

  return 0;
}

有没有可能是5.15.0的内核代码samples/bpf下没有了bpf_load.c和bpf_load.h?
内核官网上下载5.15.175和5.10.232版本代码,对比发现5.15版本samples/bpf下确实没有这两个文件,5.10版本下有这两个文件。说明是内核版本差异,5.15版本内核samples/bpf下删除了这两个文件。
网上查找资料,发现5.11版本以上,内核对BPF模块进行了修改:
5.11BPF修改
将5.10内核bpf_load.c和bpf_load.h拷贝到5.15内核代码里即可解决。
链接里修改了用户态代码,注释了read_trace_pipe,该函数会在内核执行execve事件时,打印出"Hello, BPF World!"。
问题解决的还不彻底,如何放开read_trace_pipe的注释?
在5.15内核代码里搜索read_trace_pipe,发现定义在tools/testing/selftests/bpf/trace_helpers.h。
加上#include “trace_helpers.h”:

#include "bpf_load.h"
#include "trace_helpers.h"
#include <stdio.h>

int main(int argc, char **argv) {
  if (load_bpf_file("bpf_program.o") != 0) {
    printf("The kernel didn't load the BPF program\n");
    return -1;
  }

  read_trace_pipe();

  return 0;
}

修改makefile
在这里插入图片描述
可以正确编译。
运行效果如下:
在这里插入图片描述

mobai7
关注
Linux性能调优之使用BPF工具观测CPU性能指标
山河已无恙
10-23 1355
博文内容涉及工具来自书,CPU性能指标涉及:系统短期创建的线程进程跟踪进程线程的CPU运行时长,脱离时长统计线程的运行队列长度,等待延时时间,有多少线程在等待,多核队列是否均衡线程运行调用栈和脱离调用栈跟踪线程 软硬中断 CPU时间,LLC 三级缓存命中率分析内核态系统调用跟踪分析理解不足小伙伴帮忙指正 😃,生活加油喜欢文字的人,大多敏感且心软,忽然不快乐忽然被回忆揪住心脏忽然沉默到泪流。
eBPFLinux内核sample/bpf编译环境准备
m0_71540099的博客
01-19 1162
(注 :5.15.90.1-microsoft-standard-WSL2 默认开启,如更新的内核依旧未开启该特性自行下载源码开启选项编译更新)如果编译成功但是执行samples显示为生成BPF文件,检查是否clang 和 llvm版本不匹配或者版本太低。第二个是XXX_user.c文件,它主要用来将目标码安全的注入内核,并通过bpf的map机制。最后编译生成可执行文件,就可在用户态下安全和高效的提取和处理很多内核数据。如果有可用的更新,它将自动下载并安装最新的WSL内核
Linux-Observability-with-BPF.pdf
04-23
Linux-Observability-with-BPF.pdf
Linux 内核观测技术BPF
0 error(s)
03-12 2807
BPF允许任何人在Linux内核之中执行任意的代码,这听起来的十分危险,但是由于有着使得这过程变的相当的安全。BPF内核个模块,所有的BPF程序都必须经过它的审查才能够被加载到内核之中去运行。验证器执行的就是对BPF虚拟机加载的代码进行。这步的目的是保证程序可以按照预期去结束,而不会产生死循环拜拜浪费系统资源。验证器会创建个DAG(有向无环图),将BPF程序的每个执行首位相连之后去执行DFS(深度优先遍历),当且仅当每个路径都能达到DAG的底部才会通过验证。之后其会执行。
Linux 内核观测技术 BPF 速读笔记
xc790的专栏
10-15 757
读书笔记
泛读Linux内核观测技术BPF-01
qiubinwei的博客
09-09 344
【欢迎关注微信公众号:qiubinwei-1986】9月开始了,前期定的关于eBPF的相关计划,由于学习难度和成本太高了,直处于翻开书就放弃阶段,直到近期,在外部压力下迫使自己不得不临时放下Linux内核学习,通过代价高昂的上下文切换,过渡到Linux的eBPF学习上。由于BPF手上的纸质文档有限,计划先花1周左右时间,先把如下这本书泛读遍,加深印象,在通过有的放矢的方式针对其中对现阶段最有价值的内容进行深入学习。这本书带上引言,共八章,相比较Linux内核的板砖材料,这本书基本就是小儿科了。
泛读Linux内核观测技术BPF-02
qiubinwei的博客
09-09 431
整个第二章从编写BPF程序开始,先介绍BPF程序编译执行的过程,大致分C语言编写,LLVM编译成BPF字节码,在通过bfp调用变成BPF字节码,通过BPF验证器后使用JIT编译为机器码并执行。SO_REUSEADDR和SO_REUSEPORT都是内核中的端口重用参数(TCP和UDP),允许相同主机上多个进程绑定相同的端口,解决在高并发情况下,多线程并发处理时端口不足的问题,打开端口重用可以提高网络连接数量,获得较高单机性能。通过不同的程序类型,可以将程序附加到内核网络处理的不同阶段上。
Advanced_BPF_Kernel_Features_for_the_Container_Age_FOSDEM.pdf
02-25
1. eBPF技术:eBPFLinux内核个功能强大的特性,允许开发者在内核中运行沙盒程序。这些程序由用户空间编译,然后由内核安全地加载和执行。eBPF可以用来增强系统性能,提高网络性能和安全,例如进行高效的数据包...
linux内核观测技术bpf
03-16
BPFLinux内核观测技术,它可以在内核中执行代码,从而实现对系统的深度观测和分析。BPF可以用于网络、存储、安全等多个领域,可以实现高效的数据过滤、统计、监控等功能。BPF还可以与用户空间程序交互,实现...
Linux内核观测技术BPF学习笔记 (三)
最新发布
mobai7的博客
01-14 343
这里需要是因为classifier.c中分类器函数classification定义为static,而libbpf不支持静态程序,不知官方例子为啥这样写?,大概意思就是规则已经存在,不能add,只能change。这里需要将eth0替换成当前环境上的ens33。
LINUX内核技术手册2.pdf
05-22
LINUX内核技术手册2.pdf
linux内核观测技术BPF速读笔记
qq_41675544的博客
06-16 1350
linux-observability-with-bpf快速阅读笔记
Linux内核观测技术BPF学习笔记 (二)
mobai7的博客
12-31 201
test为编译生成的可执行文件。书上uprobe挂载到go代码上,自己实现挂载到c代码上,原理相同。
Linux超能力BPF技术介绍及学习分享
Docker的专栏
09-15 5816
近两年BPF技术跃然成为了项热门技术,在刚刚结束的KubeCon 2020 Europe会议上有7个关于BPF技术分享, 而在KubeCon 2020 China会议上也已有了3个关...
探索Linux观测性:BPF框架的应用与实践
gitblog_00082的博客
05-16 560
探索Linux观测性:BPF框架的应用与实践 项目简介 在如今的系统监控和调试领域,BPF(Berkeley Packet Filter)已经成为不可或缺的工具。这个开源项目——"Linux Observability with BPF"的代码库,旨在帮助开发者深入了解并利用BPF进行高效的操作系统观察和性能优化。虽然项目于2019年发布,但其基础概念仍然适用,并且社区仍在...
透视Linux内核 神奇的BPF
03-06 1074
前言前面介绍了利用BCC 写eBPF的代码,虽然可以利用python加载,说实话,写起来并不容易,程序本身难度不大,难度在什么地方那,我们利用eBPF的时候更多的时候是在想看看内核到底...
Linux bpf 1.1、BPF内核实现
热门推荐
pwl999的博客
09-28 1万+
BPF的字面上意思Berkeley Packet Filter意味着它是从包过滤而来。如果在开始前对BPF缺乏感性的认识建议先看下参考文档:“3.1、Berkeley Packet Filter (BPF) (Kernel Document)”、“3.2、BPF and XDP Reference Guide”。 本质上它是内核代码注入的技术内核中实现了个cBPF/eBPF虚拟机; ...
BPF学习笔记()--Linux tracing system对比分析
frankzfz的专栏
01-05 901
前端工具通常作为使用者,在跟踪内核或者观测内核时使用的命令,比如:bpftrace BCC 等工具,内核态框架是指支持上述前端工具的内核框架,比如systemtap的内核模块、BPF的字节码等。Linux trace技术发展已久,经常看到很多的专业术语,从perf LTTng systemtap bpftrace tracepoint trace BCC bpf ebpf等词汇,这些关键的词汇有着怎样的联系和关联,通过下面的这个图可以直观的认识到这几种关键技术的内在联系。:BPF是可针对内核可编程的,
linux编译支持ebpf,Linux内核功能eBPF入门学习):BPF、eBPF、BCC等基本概念
weixin_35873946的博客
05-10 1068
Linux内核观测技术BP目录说明eBPF是kernel 3.15中引入的全新设计,将原先的BPF发展成个指令集更复杂、应用范围更广的“内核虚拟机”。eBPF支持在用户态将C语言编写的小段“内核代码”注入到内核中运行,注入时要先用llvm编译得到使用BPF指令集的elf文件,然后从elf文件中解析出可以注入内核的部分,最后用bpf_load_program方法完成注入。 用户态程序和注入到内核...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值