在前面我已经分享了关于ebpf入门的文章：

基于ubuntu22.04-深入浅出 eBPF。

这篇文章介绍一个基于ebpf技术的强大工具--bpftrace。

在现代计算机系统中，了解系统的内部运行情况对于诊断问题、优化性能以及进行安全监控至关重要。bpftrace作为一款强大的跟踪工具，为开发人员和系统管理员提供了一种独特的方式来监视和分析Linux系统的内部运行。本文描述bpftrace的原理和使用。

bpftrace

「bpftrace是基于eBPF和BBC实现了通过探针机制采集内核和程序运行的信息，然后用图表等方式将信息展示出来，帮助开发者找到隐藏较深的Bug、安全问题和性能瓶颈。」「bpftrace是一种高级跟踪，适用于最新的Linux内核(4.x)中提供的Linux增强型Berkeley数据包过滤器(eBPF)。bpftrace使用LLVM作为将脚本编译为BPF码字节语言，并使用BCC与Linux BPF系统交互，以及现有的Linux跟踪功能：内核动态跟踪（kprobes）、用户级动态跟踪（uprobes）、和跟踪点。bpftrace语言的灵感来自awk和C，以及DTrace和SystemTap等前身跟踪」

「bpftrace通过高度抽象的封装来使用eBPF，大多数功能只需要寥寥几笔就可以运行起来，可以很快让我们搞清楚eBPF是什么样的，而暂时不关心eBPF复杂的内部机理。由于bpftrace深受AWK和c的影响，bpftrace使用起来于AWK非常相似，那些内核hook注入点几乎可以按普通字符串匹配来理解，非常容易上手。」

bpftrace安装

在bpftrace的项目中，提供了一些常见系统的安装方法，官方文档：(https://github.com/iovisor/bpftrace/blob/master/INSTALL.md#ubuntu-packages)。支持的系统：Ubuntu，Fedora，Gentoo，Debian，openSUSE，CentOS，Arch，Alpine。

• 作者使用ubuntu22.04系统，安装过程非常简单，步骤如下：

youyeetoo@youyeetoo:~$sudoapt-getinstall-ybpftrace

• 安装完毕，可以确认一下安装情况，如果看到版本号说明安装成功：

youyeetoo@youyeetoo:~$bpftrace-V
bpftracev0.14.0

bpftrace使用

bpftrace是eBPF的高级封装，借助bpftrace可以一窥 eBPF 轮廓。

##列出ebpf支持的探针指令：
$bpftrace-l

##查看ebpf支持的探针个数：
$bpftrace-l|wc-l

##查看不同类型ebpf探针个数：
$bpftrace-l|awk-F":"'{print$1}'|sort|uniq-c

bpftrace执行脚本

bpftrace提供了两种不同的方式执行脚本：

1. 单行指令执行：bpftrace -e 'cmds'

• 单行指令模式是即用即弃，执行一些简短的指令非常方便，所有指令都包含在最后一个参数中，需要注意的是，虽然单行指令模式的指令可能很长，但对于 bpftrace 来说，它只接受了 2 个参数：-e 和 一个指令字符串(需要使用单引号包裹，确保所有指令都被识别为一个完整的字符串)。
• 单行指令，官方也提供了一些样例，如下：

#Filesopenedbyprocess
$bpftrace-e'tracepointsys_enter_open{printf("%s%sn",comm,str(args->filename));}'

#Syscallcountbyprogram
$bpftrace-e'tracepointsys_enter{@[comm]=count();}'

#Readbytesbyprocess:
$bpftrace-e'tracepointsys_exit_read/args->ret/{@[comm]=sum(args->ret);}'

#Readsizedistributionbyprocess:
$bpftrace-e'tracepointsys_exit_read{@[comm]=hist(args->ret);}'

#Showper-secondsyscallrates:
$bpftrace-e'tracepointsys_enter{@=count();}interval1{print(@);clear(@);}'

#Tracedisksizebyprocess
$bpftrace-e'tracepointblock_rq_issue{printf("%d%s%dn",pid,comm,args->bytes);}'

#Countpagefaultsbyprocess
$bpftrace-e'software1{@[comm]=count();}'

#CountLLCcachemissesbyprocessnameandPID(usesPMCs):
$bpftrace-e'hardware1000000{@[comm,pid]=count();}'

#Profileuser-levelstacksat99Hertz,forPID189:
$bpftrace-e'profile99/pid==189/{@[ustack]=count();}'

#Filesopened,forprocessesintherootcgroup-v2
$bpftrace-e'tracepointsys_enter_openat/cgroup==cgroupid("/sys/fs/cgroup/unified/mycg")/{printf("%sn",str(args->filename));}'

2. 脚本文件执行：bpftrace

• 通过bpftrace就可以执行c style的代码，通过这类的代码，bpftrace可以实现相对复杂的逻辑。比如通过bpftrace获取当前所有shell的输入，代码如下：

BEGIN
{
printf("Tracingbashcommands...HitCtrl-Ctoend.n");
printf("%-9st%st%st%sn","TIME","UID","PID","COMMAND");
}

uretprobe:/bin/bash:readline
{
time("%H:%M:%St");
printf("%dt%dt%sn",uid,pid,str(retval));
}

END
{
printf("end-test");
}

• 官方提供了很多工具可直接调用，链接：https://github.com/iovisor/bpftrace/tree/master/tools