在《
linux-observability-with-bpf》中第
4章节中的案例中,有一个tracepoint bpf_prog_load的实例,在我自己的云主机上,执行不通过。发现网上也有一些人遇到。针对该问题分析了一下具体的原因。 根本原因是:内核版本的问题。
下面是
《linux-observability-with-bpf》中的一个示例程序:
-
from bcc import BPF
-
-
bpf_source = """
-
int trace_bpf_prog_load(struct pt_regs *ctx) {
-
char comm[16];
-
bpf_get_current_comm(&comm, sizeof(comm));
-
-
bpf_trace_printk("%s is loading a BPF program", comm);
-
return 0;
-
}
-
"""
-
-
bpf = BPF(text = bpf_source)
-
bpf.attach_tracepoint(tp = "bpf:bpf_prog_load", fn_name = "trace_bpf_prog_load")
-
bpf.trace_print()
上面的程序在bpf_prog_load的函数中添加一个添加一个tracepoint点。通过下面的命令可以参考本操作系统支持tracepoint的函数。
1)通过下面目录中,查看是否有相关的events
2)通过bcc的相关命令行工具
通过是上面的两个命令查看,都没有相关bpf的tracepoint点。所有执行上面的命令会出现下面的错误信息。open(/sys/kernel/debug/tracing/events/bpf/bpf_prog_load/id): No such file or directory
通过对内核中相关的文件进行分析, 在kernel/bpf/syscall.c文件中,我们可以看到其中提交的一个commit,去掉对bpf_prog_load的tracepoint,使用
git show 4d220ed 显示下面的信息
通过上面的查看,是在内核4.18之后的内核删除了。commit的描述是在有可能导致内核的panic。
为了测试tracepoint的使用,可以使用下面的代码进行验证。
-
from bcc import BPF
-
-
bpf_source = """
-
int trace_net_dev_xmit(struct pt_regs *ctx) {
-
char comm[16];
-
bpf_get_current_comm(&comm, sizeof(comm));
-
-
bpf_trace_printk("%s is loading a BPF program", comm);
-
return 0;
-
}
-
"""
-
-
bpf = BPF(text = bpf_source)
-
bpf.attach_tracepoint(tp = "net:net_dev_xmit", fn_name = "trace_net_dev_xmit")
-
bpf.trace_print()
阅读(1532) | 评论(0) | 转发(0) |