在前面我已經分享了關于ebpf入門的文章：

基于ubuntu22.04-深入淺出 eBPF。

這篇文章介紹一個基于ebpf技術的強大工具--bpftrace。

在現代計算機系統中，了解系統的內部運行情況對于診斷問題、優化性能以及進行安全監控至關重要。bpftrace作為一款強大的跟蹤工具，為開發人員和系統管理員提供了一種獨特的方式來監視和分析Linux系統的內部運行。本文描述bpftrace的原理和使用。

bpftrace

「bpftrace是基于eBPF和BBC實現了通過探針機制采集內核和程序運行的信息，然后用圖表等方式將信息展示出來，幫助開發者找到隱藏較深的Bug、安全問題和性能瓶頸。」「bpftrace是一種高級跟蹤，適用于最新的Linux內核(4.x)中提供的Linux增強型Berkeley數據包過濾器(eBPF)。bpftrace使用LLVM作為將腳本編譯為BPF碼字節語言，并使用BCC與Linux BPF系統交互，以及現有的Linux跟蹤功能：內核動態跟蹤（kprobes）、用戶級動態跟蹤（uprobes）、和跟蹤點。bpftrace語言的靈感來自awk和C，以及DTrace和SystemTap等前身跟蹤」

「bpftrace通過高度抽象的封裝來使用eBPF，大多數功能只需要寥寥幾筆就可以運行起來，可以很快讓我們搞清楚eBPF是什么樣的，而暫時不關心eBPF復雜的內部機理。由于bpftrace深受AWK和c的影響，bpftrace使用起來于AWK非常相似，那些內核hook注入點幾乎可以按普通字符串匹配來理解，非常容易上手。」

bpftrace安裝

在bpftrace的項目中，提供了一些常見系統的安裝方法，官方文檔：(https://github.com/iovisor/bpftrace/blob/master/INSTALL.md#ubuntu-packages)。支持的系統：Ubuntu，Fedora，Gentoo，Debian，openSUSE，CentOS，Arch，Alpine。

• 作者使用ubuntu22.04系統，安裝過程非常簡單，步驟如下：

youyeetoo@youyeetoo:~$sudoapt-getinstall-ybpftrace

• 安裝完畢，可以確認一下安裝情況，如果看到版本號說明安裝成功：

youyeetoo@youyeetoo:~$bpftrace-V
bpftracev0.14.0

bpftrace使用

bpftrace是eBPF的高級封裝，借助bpftrace可以一窺 eBPF 輪廓。

##列出ebpf支持的探針指令：
$bpftrace-l

##查看ebpf支持的探針個數：
$bpftrace-l|wc-l

##查看不同類型ebpf探針個數：
$bpftrace-l|awk-F":"'{print$1}'|sort|uniq-c

bpftrace執行腳本

bpftrace提供了兩種不同的方式執行腳本：

1. 單行指令執行：bpftrace -e 'cmds'

• 單行指令模式是即用即棄，執行一些簡短的指令非常方便，所有指令都包含在最后一個參數中，需要注意的是，雖然單行指令模式的指令可能很長，但對于 bpftrace 來說，它只接受了 2 個參數：-e 和 一個指令字符串(需要使用單引號包裹，確保所有指令都被識別為一個完整的字符串)。
• 單行指令，官方也提供了一些樣例，如下：

#Filesopenedbyprocess
$bpftrace-e'tracepointsys_enter_open{printf("%s%sn",comm,str(args->filename));}'

#Syscallcountbyprogram
$bpftrace-e'tracepointsys_enter{@[comm]=count();}'

#Readbytesbyprocess:
$bpftrace-e'tracepointsys_exit_read/args->ret/{@[comm]=sum(args->ret);}'

#Readsizedistributionbyprocess:
$bpftrace-e'tracepointsys_exit_read{@[comm]=hist(args->ret);}'

#Showper-secondsyscallrates:
$bpftrace-e'tracepointsys_enter{@=count();}interval1{print(@);clear(@);}'

#Tracedisksizebyprocess
$bpftrace-e'tracepointblock_rq_issue{printf("%d%s%dn",pid,comm,args->bytes);}'

#Countpagefaultsbyprocess
$bpftrace-e'software1{@[comm]=count();}'

#CountLLCcachemissesbyprocessnameandPID(usesPMCs):
$bpftrace-e'hardware1000000{@[comm,pid]=count();}'

#Profileuser-levelstacksat99Hertz,forPID189:
$bpftrace-e'profile99/pid==189/{@[ustack]=count();}'

#Filesopened,forprocessesintherootcgroup-v2
$bpftrace-e'tracepointsys_enter_openat/cgroup==cgroupid("/sys/fs/cgroup/unified/mycg")/{printf("%sn",str(args->filename));}'

2. 腳本文件執行：bpftrace

• 通過bpftrace就可以執行c style的代碼，通過這類的代碼，bpftrace可以實現相對復雜的邏輯。比如通過bpftrace獲取當前所有shell的輸入，代碼如下：

BEGIN
{
printf("Tracingbashcommands...HitCtrl-Ctoend.n");
printf("%-9st%st%st%sn","TIME","UID","PID","COMMAND");
}

uretprobe:/bin/bash:readline
{
time("%H:%M:%St");
printf("%dt%dt%sn",uid,pid,str(retval));
}

END
{
printf("end-test");
}

• 官方提供了很多工具可直接調用，鏈接：https://github.com/iovisor/bpftrace/tree/master/tools