bpftrace

bpftrace 是一种用于 Linux eBPF 的高级跟踪语言，适用于最新的 Linux 内核（4.x）。bpftrace 使用 LLVM 作为后端将脚本编译成 BPF 字节码，并利用 libbpf 和 bcc 与 Linux BPF 系统交互，同时还利用了现有的 Linux 跟踪功能：内核动态跟踪（kprobes）、用户级动态跟踪（uprobes）、跟踪点等。bpftrace 语言的灵感来自 awk、C 以及前代跟踪器如 DTrace 和 SystemTap。bpftrace 由 Alastair Robertson 创建。

示例单行命令

以下单行命令展示了不同的功能：

# 按线程名显示打开的文件
bpftrace -e 'tracepoint:syscalls:sys_enter_open { printf("%s %s\n", comm, str(args->filename)); }'

# 按线程名统计系统调用次数
bpftrace -e 'tracepoint:raw_syscalls:sys_enter { @[comm] = count(); }'

# 按线程名统计读取的字节数
bpftrace -e 'tracepoint:syscalls:sys_exit_read /args->ret/ { @[comm] = sum(args->ret); }'

# 按线程名显示读取大小分布
bpftrace -e 'tracepoint:syscalls:sys_exit_read { @[comm] = hist(args->ret); }'

# 显示每秒系统调用率
bpftrace -e 'tracepoint:raw_syscalls:sys_enter { @ = count(); } interval:s:1 { print(@); clear(@); }'

# 按 PID 和线程名跟踪磁盘大小
bpftrace -e 'tracepoint:block:block_rq_issue { printf("%d %s %d\n", pid, comm, args->bytes); }'

# 按线程名统计页面错误
bpftrace -e 'software:faults:1 { @[comm] = count(); }'

# 按线程名和 PID 统计 LLC 缓存未命中（使用 PMC）
bpftrace -e 'hardware:cache-misses:1000000 { @[comm, pid] = count(); }'

# 以 99 赫兹的频率对 PID 189 的用户级堆栈进行分析
bpftrace -e 'profile:hz:99 /pid == 189/ { @[ustack] = count(); }'

# 在根 cgroup-v2 中打开的文件
bpftrace -e 'tracepoint:syscalls:sys_enter_openat /cgroup == cgroupid("/sys/fs/cgroup/unified/mycg")/ { printf("%s\n", str(args->filename)); }'

可以轻松构建更强大的脚本。有关示例，请参阅工具。