bpftrace
bpftrace 是一种用于 Linux eBPF 的高级跟踪语言,适用于最新的 Linux 内核(4.x)。bpftrace 使用 LLVM 作为后端将脚本编译成 BPF 字节码,并利用 libbpf 和 bcc 与 Linux BPF 系统交互,同时还利用了现有的 Linux 跟踪功能:内核动态跟踪(kprobes)、用户级动态跟踪(uprobes)、跟踪点等。bpftrace 语言的灵感来自 awk、C 以及前代跟踪器如 DTrace 和 SystemTap。bpftrace 由 Alastair Robertson 创建。
示例单行命令
以下单行命令展示了不同的功能:
# 按线程名显示打开的文件
bpftrace -e 'tracepoint:syscalls:sys_enter_open { printf("%s %s\n", comm, str(args->filename)); }'
# 按线程名统计系统调用次数
bpftrace -e 'tracepoint:raw_syscalls:sys_enter { @[comm] = count(); }'
# 按线程名统计读取的字节数
bpftrace -e 'tracepoint:syscalls:sys_exit_read /args->ret/ { @[comm] = sum(args->ret); }'
# 按线程名显示读取大小分布
bpftrace -e 'tracepoint:syscalls:sys_exit_read { @[comm] = hist(args->ret); }'
# 显示每秒系统调用率
bpftrace -e 'tracepoint:raw_syscalls:sys_enter { @ = count(); } interval:s:1 { print(@); clear(@); }'
# 按 PID 和线程名跟踪磁盘大小
bpftrace -e 'tracepoint:block:block_rq_issue { printf("%d %s %d\n", pid, comm, args->bytes); }'
# 按线程名统计页面错误
bpftrace -e 'software:faults:1 { @[comm] = count(); }'
# 按线程名和 PID 统计 LLC 缓存未命中(使用 PMC)
bpftrace -e 'hardware:cache-misses:1000000 { @[comm, pid] = count(); }'
# 以 99 赫兹的频率对 PID 189 的用户级堆栈进行分析
bpftrace -e 'profile:hz:99 /pid == 189/ { @[ustack] = count(); }'
# 在根 cgroup-v2 中打开的文件
bpftrace -e 'tracepoint:syscalls:sys_enter_openat /cgroup == cgroupid("/sys/fs/cgroup/unified/mycg")/ { printf("%s\n", str(args->filename)); }'
可以轻松构建更强大的脚本。有关示例,请参阅工具。
贡献
欢迎贡献!请参阅下面的开发部分了解更多信息。对于新的 bpftrace 工具,请将它们添加到新的用户工具仓库。本仓库中的工具是由 bpftrace 维护者精心挑选的小型集合。
开发
支持
如需额外帮助/讨论,请使用我们的讨论页面。
我们还定期举行向公众开放的办公时间。
探测类型
更多详细信息请参阅手册。
插件
bpftrace 有几个插件/定义,可以将语法集成到您的编辑器中。
许可证
版权所有 2019 Alastair Robertson
根据 Apache 许可证 2.0 版("许可证")授权; 除非遵守许可证,否则您不得使用此文件。 您可以在以下位置获取许可证副本:
http://www.apache.org/licenses/LICENSE-2.0
除非适用法律要求或书面同意,否则根据许可证分发的软件是基于"按原样"的基础分发的, 不附带任何明示或暗示的保证或条件。 有关许可证下的特定语言管理权限和限制,请参阅许可证。