Chinaunix首页 | 论坛 | 博客
  • 博客访问: 4516179
  • 博文数量: 252
  • 博客积分: 5347
  • 博客等级: 大校
  • 技术积分: 13838
  • 用 户 组: 普通用户
  • 注册时间: 2009-09-30 10:13
文章分类
文章存档

2022年(12)

2017年(11)

2016年(7)

2015年(14)

2014年(20)

2012年(9)

2011年(20)

2010年(153)

2009年(6)

分类: LINUX

2022-06-17 16:26:15

在《linux-observability-with-bpf》中第4章节中的案例中,有一个tracepoint bpf_prog_load的实例,在我自己的云主机上,执行不通过。发现网上也有一些人遇到。针对该问题分析了一下具体的原因。 根本原因是:内核版本的问题。
下面是《linux-observability-with-bpf》中的一个示例程序:

点击(此处)折叠或打开

  1. from bcc import BPF

  2. bpf_source = """
  3. int trace_bpf_prog_load(struct pt_regs *ctx) {
  4.   char comm[16];
  5.   bpf_get_current_comm(&comm, sizeof(comm));

  6.   bpf_trace_printk("%s is loading a BPF program", comm);
  7.   return 0;
  8. }
  9. """

  10. bpf = BPF(text = bpf_source)
  11. bpf.attach_tracepoint(tp = "bpf:bpf_prog_load", fn_name = "trace_bpf_prog_load")
  12. bpf.trace_print()
 上面的程序在bpf_prog_load的函数中添加一个添加一个tracepoint点。通过下面的命令可以参考本操作系统支持tracepoint的函数。
1)通过下面目录中,查看是否有相关的events
2)通过bcc的相关命令行工具

通过是上面的两个命令查看,都没有相关bpf的tracepoint点。所有执行上面的命令会出现下面的错误信息。open(/sys/kernel/debug/tracing/events/bpf/bpf_prog_load/id): No such file or directory
通过对内核中相关的文件进行分析, 在kernel/bpf/syscall.c文件中,我们可以看到其中提交的一个commit,去掉对bpf_prog_load的tracepoint,使用git show 4d220ed 显示下面的信息


通过上面的查看,是在内核4.18之后的内核删除了。commit的描述是在有可能导致内核的panic。
为了测试tracepoint的使用,可以使用下面的代码进行验证。

点击(此处)折叠或打开

  1. from bcc import BPF

  2. bpf_source = """
  3. int trace_net_dev_xmit(struct pt_regs *ctx) {
  4.   char comm[16];
  5.   bpf_get_current_comm(&comm, sizeof(comm));

  6.   bpf_trace_printk("%s is loading a BPF program", comm);
  7.   return 0;
  8. }
  9. """

  10. bpf = BPF(text = bpf_source)
  11. bpf.attach_tracepoint(tp = "net:net_dev_xmit", fn_name = "trace_net_dev_xmit")
  12. bpf.trace_print()
阅读(1532) | 评论(0) | 转发(0) |
给主人留下些什么吧!~~